تزايد خسائر العملات المشفرة المرتبطة بكوريا الشمالية بنسبة 51٪ في عام 2025، وفقًا لتقرير

تكثفت أنشطة القراصنة المرتبطين بكوريا الشمالية في نظام العملات المشفرة خلال عام 2025، محققة خسائر تزيد عن 2 مليار دولار ومرتبطة بزيادة بنسبة 51% على أساس سنوي، وفقًا لتقرير مشهد التهديدات للخدمات المالية لعام 2026 الصادر عن CrowdStrike. وتضع النتائج الجهات الفاعلة المرتبطة بكوريا الشمالية كأكبر تهديد من حيث قيمة الأصول المسروقة، مما يبرز تحولًا نحو أهداف ذات قيمة عالية وعمليات أمنية أكثر تطورًا.

ووفقًا للتقرير، سعت شبكة التهديدات التابعة لكوريا الشمالية إلى تنفيذ عدد أقل من الحملات مقارنة بالسنوات السابقة، لكنها حققت عوائد أعلى بشكل كبير من خلال التركيز على أهداف ذات قيمة عالية وتشديد السلسلة من السرقة إلى السحب النقدي. ويُعتقد أن العائدات المسروقة تُغسل لتمويل برامج الجيش في النظام، وهو نمط يلاحظه CrowdStrike كهدف دائم لهذه الجهات الفاعلة. ويُظهر تركيز المجموعة على عمليات مركزية ذات تأثير عالٍ مقابل انتشار أوسع للحوادث ذات القيمة الأقل التي لوحظت في السنوات السابقة.

نقاط رئيسية

تسببت الجهات الفاعلة المرتبطة بكوريا الشمالية في خسائر تزيد عن 2 مليار دولار في العملات المشفرة عام 2025، بزيادة قدرها 51% عن العام السابق، وفقًا لتقرير CrowdStrike لعام 2026.

لا تزال كوريا الشمالية أكبر مجموعة تهديد من حيث قيمة الأموال المسروقة، مما يعكس تحولًا استراتيجيًا نحو أهداف ذات قيمة عالية وطرق تحقيق أرباح فعالة.

تم تفضيل مشاريع الويب 3 والبورصات المشفرة كأهداف بسبب السيولة الأسهل والخصوصية الأكبر عند السحب، وفقًا لنتائج مشهد التهديدات.

من المحتمل أن تُغسل الأموال المسروقة لتمويل البرامج العسكرية، مع تقليل عدد الحملات التي تحقق عوائد أعلى بشكل ملحوظ، مما يشير إلى تحول في اقتصاديات الهجمات.

تمتد جهود الاختراق والهندسة الاجتماعية إلى ما وراء الفضاء الإلكتروني، مع وجود نقاط اتصال غير متصلة بالإنترنت ووسطاء من طرف ثالث يلعبون دورًا في عمليات أكثر تطورًا.

تصاعد الخسائر وخطة اللعب ذات القيمة العالية

تسلط تقييمات CrowdStrike الضوء على مفارقة قائمة في العمل: فحتى مع انخفاض عدد الحملات، زاد التأثير المالي بشكل كبير لأن المجموعة أعطت الأولوية للأهداف الأكبر والأكثر ربحية. وتلاحظ الشركة أن الأصول المسروقة تُوجه بشكل كبير إلى قنوات تعظم من الخصوصية والسيولة، مما يتيح تحويلها بسرعة إلى أموال قابلة للاستخدام مع تجنب الرقابة المالية التقليدية. وتشير تكرارية هذه الأنماط إلى تحول متعمد لتعظيم القيمة لكل عملية بدلاً من مجرد زيادة عدد الحوادث.

“من المحتمل جدًا أن تُغسل العائدات المسروقة لتمويل البرامج العسكرية للنظام. مقارنة بعام 2024، نفذت الجهات المعادية المرتبطة بكوريا الشمالية حملات أقل لكنها حققت عوائد أعلى بشكل كبير من خلال التركيز على أهداف ذات قيمة عالية.”

وتأتي هذه الاستنتاجات مع إشارة مشهد التهديدات إلى نضوج عمليات مرتبطة بكوريا الشمالية، مع إشارات إلى توسيع أدواتها التي تمزج بين الاختراق التقليدي والهندسة الاجتماعية والتسلل عبر سلاسل التوريد. ويؤكد التقرير أيضًا أن استعداد المجموعة لاستغلال نقاط الضعف في شركات العملات المشفرة — بدءًا من فرق المشاريع إلى البورصات — يعكس استراتيجية استهداف واسعة تهدف إلى تعظيم الوصول وفرص تحقيق الأرباح.

لماذا تظل مشاريع الويب 3 والبورصات نقاطًا محورية

يركز النقاش الأمني يوم الأربعاء حول الجهات الفاعلة المرتبطة بكوريا الشمالية على اقتصاديات سرقة العملات المشفرة. يلاحظ التقرير أن المحافظ ذات القيمة العالية والبورصات المركزية توفر سيولة أعمق ومسارات خروج أسرع، مما يقلل من الوقت الذي تقضيه الأموال معرضة للتتبع والمصادرة. من هذا المنطلق، فإن جاذبية مشاريع الويب 3 ومنصات العملات المشفرة ليست مجرد عن السرقة، بل عن القدرة على تحويل الأصول المسروقة إلى عملة قابلة للإنفاق بأقل احتكاك من الطرق المالية التقليدية.

إلى جانب عمليات السرقة المباشرة، يجب على النظام البيئي الأوسع مراقبة استراتيجيات الهندسة الاجتماعية المتطورة المصممة لاستغلال شبكات الثقة حول البروتوكولات والتشريعات الناشئة. مع تزايد تعقيد نموذج التهديد، تكتسب ممارسات الأمان القوية — مثل إدارة مخاطر البائعين بدقة، مراجعة الشفرات، والمصادقة المقاومة للصيد الاحتيالي — أهمية متجددة للمطورين والمشغلين عبر فضاء العملات المشفرة.

الاختراق، عبر الإنترنت وخارجه: حوادث ملحوظة

في أبريل، أبلغت مؤسسة إيثريوم، التي تشرف على تطوير إيثريوم، علنًا عن حجم تورط كوريا الشمالية في عمليات التسلل إلى الويب 3، مع تحديد مجموعة كبيرة من العاملين المدعومين من كوريا الشمالية الذين يتسللون إلى مشاريع العملات المشفرة المختلفة. والمقصود أن المجموعة تحافظ على وصول مستمر ومتعدد الجوانب إلى الأنظمة المستهدفة، من خلال الجمع بين الاختراق عن بعد والتواصل الميداني لتمديد النفوذ.

إحدى الحوادث التي يُشار إليها على نطاق واسع تتعلق بـ Drift Protocol، وهو بورصة لامركزية، حيث يُزعم أن المهاجمين تسللوا وأضروا ببيئات المطورين بعد إقامة علاقات مع فريق المشروع. وأبلغ فريق Drift Protocol أن المهاجمين تم تقديمهم للمشروع خلال مؤتمر صناعي بارز للعملات المشفرة، وطوروا علاقة عمل على مدى ستة أشهر. وخلال هذا التفاعل، تم نشر برمجيات خبيثة ضد أجهزة المطورين، مما أسفر عن خسائر تقدر بحوالي 280 مليون دولار. وأكدت قيادة Drift أن الأفراد الذين ظهروا شخصيًا لم يكونوا من مواطني كوريا الشمالية، لكنها أشارت إلى أن الجهات المرتبطة بكوريا الشمالية غالبًا ما تعتمد على وسطاء من طرف ثالث لتسهيل الاتصالات وجهًا لوجه.

وتعزز السردية الأوسع حول الاستطلاع الميداني غير المتصل بالإنترنت والتوظيف الشخصي من خلال ملاحظات صناعية منفصلة، بما في ذلك تقارير عن عمال تكنولوجيا المعلومات من كوريا الشمالية يتعاملون مع شركات تكنولوجيا ويستغلون قنوات التوظيف الشرعية لتسهيل الأنشطة غير القانونية. وأبرز باحثون مثل ZachXBT حالات حيث كسب عمال تكنولوجيا المعلومات المرتبطين بكوريا الشمالية مبالغ كبيرة شهريًا في مخططات ذات صلة، مما يسلط الضوء على الطبيعة العابرة للبيئة عبر الإنترنت وخارجها لهذا التهديد.

بالنسبة للمستثمرين والمطورين والمشغلين، تشير هذه الحوادث إلى سباق تسلح مستمر بين الجهات الفاعلة والفرق الأمنية التي تحمي منصات العملات المشفرة. وتوضح حادثة Drift بشكل خاص كيف يمكن زرع قواعد للمهاجمين من خلال قنوات تطوير موثوقة، مما يحول سلاسل التوريد البرمجية الأساسية إلى مسارات لخسائر كبيرة. والتحذير الأوسع واضح: حتى التفاعلات المجتمعة مع المجتمع والجهات الخارجية الموثوقة يمكن أن تصبح نقاط خطر إذا لم يتم الحفاظ على اليقظة والأمان بشكل صارم.

ما القادم للسوق واستراتيجية الدفاع

مع ترسيخ مشهد التهديدات حول عمليات مرتبطة بكوريا الشمالية، يجب أن يتوقع المشاركون في السوق استمرار التركيز على سرقة ذات قيمة عالية وتقنيات تحقيق أرباح متطورة. من المحتمل أن تركز الجهات التنظيمية وشركات الأمن وفرق المنصات على تعزيز ضوابط الحوكمة، وأمان سلاسل التوريد، والمراقبة المحسنة لتدفقات البيانات على السلسلة المرتبطة بمحافظ وكيانات مرتبطة بكوريا الشمالية. وتُشير تقاطعات الاختراقات السيبرانية والهندسة الاجتماعية واستراتيجيات سرقة العائد العالي إلى خطر مستمر وديناميكي سيختبر مرونة بنية العملات المشفرة وبرامج الامتثال على حد سواء.

وفي المستقبل، سيراقب المراقبون عن كثب الإفصاحات الأكثر تفصيلًا من شركات استخبارات التهديدات ومشغلي المنصات حول أنماط العمليات للجهات المرتبطة بكوريا الشمالية، بما في ذلك أي تدابير مضادة جديدة تعيق أكثر القنوات ربحية. وقد تمثل تحديد مؤسسة إيثريوم لمئات من العاملين المدعومين من كوريا الشمالية وتأملات Drift Protocol بعد الحادث مؤشرات على دفع أوسع نحو الشفافية والدفاع الاستباقي عبر النظام البيئي. وللقراء، يبقى السؤال الرئيسي هو مدى سرعة قدرة الصناعة على ترجمة هذه الرؤى إلى تحسينات أمنية ملموسة تقلل من تكرار وتأثير الاختراقات المستقبلية.

ومع استمرار السنة، سيتعين على مجتمع العملات المشفرة مراقبة استجابات الحوكمة والتدابير التقنية. ويجب على المستثمرين والمستخدمين الحفاظ على اليقظة بشأن تدقيقات أمان المشاريع، وحماية الحوسبة متعددة الأطراف، وخطط الاستجابة للحوادث — وهي مجالات يمكن أن يُقاس فيها تكلفة التقاعس بملايين الدولارات بالإضافة إلى الضرر السمعة المحتمل.