قراصنة مرتبطون بكوريا الشمالية سرقوا نحو 2.02 مليار دولار من العملات المشفرة في 2025، وكان اختراق منصة Bybit بقيمة 1.46 مليار دولار أكبر عملية سرقة في تاريخ القطاع. الباحثون الأمنيون يقولون إن الهجمات أصبحت «صناعية» ومنظمة: عمليات أقل عدداً لكن بعوائد أكبر، مع بنية متكاملة للوصول إلى الأنظمة وسرقة الأموال وغسلها.

Create a landscape editorial hero image for this Studio Global article: How did North Korean cyber operatives steal a record $2.02 billion in cryptocurrency in 2025, including the $1.46 billion Bybit hack, what t. Article summary: The FBI publicly attributed the Bybit hack to North Korea and said the theft involved approximately $1.5 billion in virtual assets from cryptocurrency exchange Bybit on or about February 21, 2025.. Topic tags: general, government, news, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# North Korean hackers stole a record $2 billion of crypto in 2025, Chainalysis says. ## North Korea-linked hackers drove a record year for crypto thefts, favoring rare but massive" source context "North Korea stole $2 billion in crypto in 2025, Chainalysis says" Reference image 2: visual subject "# North Korean hacker
شهد عام 2025 تصعيداً غير مسبوق في جرائم سرقة العملات المشفرة المرتبطة بدول، حيث تمكن قراصنة مرتبطون بكوريا الشمالية من سرقة ما يقدَّر بنحو 2.02 مليار دولار من الأصول الرقمية خلال عام واحد — وهو أكبر رقم سنوي يُنسب لدولة في تاريخ الجرائم السيبرانية المالية.
وكان العامل الحاسم في هذا الرقم هو اختراق منصة العملات المشفرة Bybit في فبراير 2025، حيث سُرق ما يقارب 1.46 مليار دولار من العملات الرقمية في أكبر عملية سرقة للعملات المشفرة على الإطلاق.
وتشير تحقيقات مكتب التحقيقات الفيدرالي الأمريكي (FBI) وشركات تحليل البلوك تشين والاستخبارات السيبرانية إلى أن هذه الهجمات لم تكن حوادث منفصلة، بل جزءاً من حملة منسقة تستخدم مزيجاً من الاختراق التقني والتلاعب البشري وغسل الأموال على نطاق واسع.
في 21 فبراير 2025 تعرضت منصة Bybit، وهي بورصة عملات مشفرة مقرها دبي، لهجوم أدى إلى سرقة نحو 1.46 مليار دولار من الأصول الرقمية.
السلطات الأمريكية نسبت الهجوم إلى جهات كورية شمالية تُعرف باسم "TraderTraitor"، وهو نشاط سيبراني مرتبط بالبنية الهجومية الأوسع للدولة.
تشير تحليلات استخبارات التهديدات إلى أن الهجوم ارتبط بـ اختراق في سلسلة التوريد البرمجية، حيث تم إدخال برمجيات مُعدَّلة خبيثة داخل أدوات أو مكونات يستخدمها المطورون في النظام التقني للمنصة.
شركة الأمن السيبراني CrowdStrike تربط العملية بمجموعة قراصنة تُعرف باسم PRESSURE CHOLLIMA، والتي وزعت برمجيات خبيثة عبر خط تطوير مخترق، ما منح المهاجمين وصولاً موثوقاً داخل البنية التقنية للمنصة.
بعد الحصول على هذا الوصول، قام المهاجمون بنقل العملات المشفرة بسرعة من محافظ المنصة إلى آلاف العناوين المختلفة عبر شبكات بلوك تشين متعددة بهدف إخفاء مصدر الأموال.
البيانات من شركات تحليل البلوك تشين تشير إلى أن مجموع 2.02 مليار دولار المسروقة في 2025 يمثل زيادة بنسبة 51٪ مقارنة بالعام السابق.
لكن المثير للاهتمام أن عدد الهجمات انخفض في نفس الوقت.
هذا يعكس تحولاً استراتيجياً واضحاً: بدلاً من تنفيذ عشرات الاختراقات الصغيرة، أصبحت المجموعات المرتبطة بكوريا الشمالية تركز على اختراقات ضخمة تستهدف منصات رئيسية للعملات المشفرة والبنية التحتية المالية.
باحثو الأمن السيبراني يصفون هذا النموذج بأنه "تصنيع للجريمة السيبرانية" — حيث تُدار العمليات كمنظومة كاملة تشمل الوصول إلى الأنظمة، تنفيذ السرقة، ثم غسل الأموال لاحقاً.
بدلاً من مهاجمة منصة العملات مباشرة، استهدف القراصنة العلاقات البرمجية الموثوقة داخل النظام التقني.
من خلال اختراق أدوات التطوير أو مكتبات البرمجيات، يمكن للمهاجمين توزيع تحديثات أو برامج تحتوي على شيفرة خبيثة يقوم الضحايا بتثبيتها بأنفسهم دون أن يدركوا الخطر.
هذا النوع من الهجمات أصبح شائعاً في العمليات السيبرانية الحديثة لأنه يستغل الثقة المتبادلة داخل منظومة البرمجيات.
تشير تقارير استخبارات التهديدات إلى أن المهاجمين بدأوا باستخدام أدوات الذكاء الاصطناعي لتحسين عمليات الاحتيال والتصيد.
يمكن للذكاء الاصطناعي أن يساعد في:
وهذا يجعل عمليات الخداع أكثر قابلية للتوسع وأصعب في الاكتشاف.
أحد أكثر الأساليب إثارة للقلق هو إدخال عاملين مزيفين إلى الشركات عبر وظائف العمل عن بعد.
تقول السلطات إن كوريا الشمالية طورت شبكات من الأفراد الذين يستخدمون هويات مسروقة أو مزيفة للحصول على وظائف مطورين أو مهندسي تكنولوجيا معلومات في شركات تقنية، بما في ذلك شركات مرتبطة بقطاع العملات المشفرة.
بمجرد حصولهم على الوظيفة، يمكنهم:
وقد ذكرت شركات تقنية كبرى أنها أوقفت آلاف محاولات التوظيف الاحتيالية المرتبطة بهذه الشبكات.
يشير الباحثون إلى تحول نحو ما يسمى "التسلل غير المتصل" (Offline infiltration) — أي الحصول على وصول إلى الأنظمة عبر العلاقات البشرية مثل الموظفين أو المتعاقدين.
هذا الأسلوب يسمح للمهاجمين بتجاوز الكثير من أنظمة الأمن السيبراني التقليدية.
بدلاً من وجود منظمة واحدة، تتبع شركات الأمن السيبراني عدة مجموعات مرتبطة بكوريا الشمالية ضمن ما يُعرف بـ "عناقيد التهديد".
من بينها:
وتوجد مجموعات أخرى مثل FAMOUS CHOLLIMA و STARDUST CHOLLIMA ضمن مشهد التهديد الأوسع، لكن التقارير العامة توفر تفاصيل أقل حول ارتباطها المباشر بحوادث 2025 المحددة.
بعد تنفيذ السرقة، تبدأ مرحلة إخفاء مصدر الأموال.
غالباً ما يقوم المهاجمون بـ:
كل ذلك يهدف إلى تعقيد عملية التتبع على البلوك تشين.
تشير التحقيقات إلى أن جزءاً كبيراً من الأموال يمكن غسله خلال أسابيع قليلة فقط من الاختراق.
تقول الولايات المتحدة وعدة حكومات إن هذه الهجمات ليست مجرد جرائم مالية.
وفقاً لتصريحات رسمية، فإن العائدات الناتجة عن الجرائم السيبرانية تساعد كوريا الشمالية على تجاوز العقوبات الدولية وتمويل برامج الأسلحة، بما في ذلك تطوير الصواريخ الباليستية والقدرات النووية.
ولهذا السبب زادت أجهزة إنفاذ القانون الدولية جهودها لتعقب شبكات غسل الأموال وتعطيل البنية التحتية المستخدمة في هذه العمليات.
تكشف أحداث 2025 عن تحول كبير في مشهد التهديدات الرقمية:
ويرى خبراء الأمن السيبراني أن مواجهة هذا التهديد تتطلب تعزيز:
ومع توسع استخدام العملات المشفرة عالمياً، يبدو أن الأساليب التي طورتها هذه الحملات في 2025 ستظل واحدة من أكثر التحديات الأمنية تعقيداً في الاقتصاد الرقمي.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
قراصنة مرتبطون بكوريا الشمالية سرقوا نحو 2.02 مليار دولار من العملات المشفرة في 2025، وكان اختراق منصة Bybit بقيمة 1.46 مليار دولار أكبر عملية سرقة في تاريخ القطاع.
قراصنة مرتبطون بكوريا الشمالية سرقوا نحو 2.02 مليار دولار من العملات المشفرة في 2025، وكان اختراق منصة Bybit بقيمة 1.46 مليار دولار أكبر عملية سرقة في تاريخ القطاع. الباحثون الأمنيون يقولون إن الهجمات أصبحت «صناعية» ومنظمة: عمليات أقل عدداً لكن بعوائد أكبر، مع بنية متكاملة للوصول إلى الأنظمة وسرقة الأموال وغسلها.
الحكومات تعتبر هذه الهجمات قضية أمن قومي لأنها تُستخدم للالتفاف على العقوبات وتمويل برامج الأسلحة والصواريخ في كوريا الشمالية.