Il Lazarus Group non è un collettivo criminale. È un'agenzia governativa nordcoreana, finanziata dallo Stato, con budget, obiettivi annuali e premi produzione. I numeri, verificati da Chainalysis, TRM Labs, Elliptic, FBI e 11 governi alleati: oltre 7,3 miliardi di dollari sottratti in otto anni.
Il Colpo del Secolo: Bybit, 1,5 Miliardi in 11 Giorni
Il 21 febbraio 2025 è una data che chi lavora nella sicurezza informatica non dimenticherà facilmente. Alle 14:13:35 UTC, Bybit, uno dei maggiori exchange di criptovalute al mondo con sede a Dubai, perde il controllo di circa 500.000 Ether. In dollari: 1,5 miliardi. Il furto più grande nella storia delle criptovalute.
Come è successo? Non attaccando Bybit direttamente. Il Lazarus Group aveva compromesso, giorni prima, il laptop di uno sviluppatore di Safe{Wallet}, la società che fornisce l'infrastruttura di firma multisignature usata da Bybit per i trasferimenti del cold wallet.
Il 19 febbraio 2025, alle 15:29:25 UTC, il codice JavaScript dell'interfaccia Safe{Wallet} era stato silenziosamente sostituito con una versione modificata. I responsabili della sicurezza di Bybit, quando hanno avviato la transazione di routine due giorni dopo, vedevano sui loro schermi esattamente quello che si aspettavano di vedere. Stavano approvando qualcosa di completamente diverso.
Il 26 febbraio 2025, l'FBI ha ufficialmente attribuito l'attacco a TraderTraitor, una subunità del Lazarus Group nota anche come Jade Sleet e Slow Pisces. La stessa unità responsabile del furto da 308 milioni di dollari all'exchange giapponese DMM Bitcoin nel maggio 2024 — un hack così devastante da aver costretto l'exchange alla chiusura.
I fondi di Bybit? Lavati completamente in 11 giorni. Il CEO Ben Zhou ha ammesso pubblicamente di aver perso traccia di circa 300 milioni di dollari durante l'operazione di tracciamento. Non erano stati recuperati. Era già tardi.
La Macchina del Furto: Chi è Davvero Lazarus
"Lazarus Group e Corea del Nord sono la stessa cosa. Non è un gruppo sponsorizzato dallo Stato nel senso tradizionale. È lo Stato." — TRM Labs, febbraio 2025
Il Lazarus Group opera sotto il Reconnaissance General Bureau (RGB), il principale servizio di intelligence estera della DPRK. È articolato in subunità specializzate:
| Subunità | Alias | Specializzazione |
|---|---|---|
| TraderTraitor | Jade Sleet, Slow Pisces | Exchange centralizzati, supply chain software |
| UNC4736 | Citrine Sleet, Golden Chollima | Social engineering a lungo termine, DeFi |
| Kimsuky | — | Spionaggio e intelligence |
| Andariel | — | Ransomware, wiper malware, sabotaggio |
La struttura è deliberatamente compartimentata: ogni missione è isolata per resistere all'attribuzione. Ma le firme lasciate sulla blockchain — malware riutilizzati, rotte di riciclaggio, pattern di timing — sono tracce che gli analisti di Chainalysis, Elliptic e TRM Labs hanno imparato a riconoscere con precisione crescente.
I Numeri che Non Tornano
Dati aggregati, tutti verificati da fonti primarie indipendenti:
| Anno | Importo rubato | Hack principali |
|---|---|---|
| 2022 | $1.35B | Ronin Bridge ($620M), Harmony ($100M) |
| 2023 | $600M | Atomic Wallet ($100M), Stake.com ($41M) |
| 2024 | $1.34B (record) | WazirX ($235M), DMM Bitcoin ($305M) |
| 2025 | $2.02B (+51%) | Bybit ($1.5B), LND.fi, WOO X, Seedify |
| Gen–Apr 2026 | $577M | Drift Protocol ($285M), Kelp DAO ($292M) |
| TOTALE 2017–2026 | $7.3B+ | Fonte: Chainalysis, TRM Labs, Elliptic |
Il rapporto del Multilateral Sanctions Monitoring Team (MSMT) — undici paesi, pubblicato in ottobre 2025 — ha certificato che i furti nordcoreani tra gennaio 2024 e settembre 2025 ammontano a 2,84 miliardi di dollari: una cifra che rappresenta quasi un terzo delle entrate totali in valuta estera del paese nel 2024.
In un paese che esporta principalmente carbone e manodopera, rubare crypto è diventato una voce primaria di bilancio.
L'Ingegneria Sociale: Sei Mesi per Rubare 285 Milioni
Se Bybit è stata la dimostrazione della capacità tecnica di Lazarus, l'attacco a Drift Protocol — exchange decentralizzato su Solana — è stata la dimostrazione della sua pazienza strategica.
Nell'autunno del 2025, alcune persone si presentano a conferenze internazionali di criptovalute come rappresentanti di una "quantitative trading company". Non sono nordcoreani: sono intermediari terzi, reclutati e addestrati dal regime. Sono tecnicamente competenti. Hanno background verificabili. Parlano fluentemente il linguaggio del settore.
Tra dicembre 2025 e gennaio 2026, il gruppo inizia a depositare oltre un milione di dollari come collaterale su Drift Protocol. Interagisce con i contributor del progetto su Telegram, fa domande tecniche nelle conferenze, costruisce fiducia.
Il 1° aprile 2026, scatta l'attacco. I repository di codice condivisi durante la "collaborazione" contenevano file di configurazione per VS Code con tasks malevoli. Le app wallet distribuite per beta test su Apple TestFlight nascondevano malware. Simultaneamente all'esecuzione dell'attacco, le chat Telegram vengono cancellate.
285 milioni di dollari spariti in un giorno, dopo sei mesi di preparazione. Gli analisti di Elliptic e TRM Labs hanno ricondotto i flussi di fondi agli stessi operatori responsabili dell'hack di Radiant Capital nell'ottobre 2024 (53 milioni di dollari).
Diciotto giorni dopo, il 18 aprile 2026, Kelp DAO veniva attaccata per altri 292 milioni di dollari in 46 minuti, attraverso un exploit del bridge cross-chain LayerZero. Il danno collaterale: $6,6 miliardi di TVL di Aave evaporati in ore per contagio sistemico.
I "Lavoratori" che Non Esistono
Parallelamente agli hack tecnici, la Corea del Nord gestisce un programma complementare ancora più insidioso: migliaia di cittadini nordcoreani — o proxy reclutati in terzi paesi — che ottengono lavoro remoto in aziende tecnologiche americane ed europee usando false identità .
Non lavorano per i loro stipendi. Lavorano per rubare dati, credenziali, codice sorgente. Gli stipendi stessi, fino a 300.000 dollari annui per lavoratore, vengono trasferiti quasi integralmente al regime.
Il Dipartimento di Giustizia americano ha quantificato il solo programma IT workers a quasi 800 milioni di dollari annui per le casse di Pyongyang (OFAC, marzo 2026).
Il 30 giugno 2025, il DOJ ha coordinato raid simultanei in 16 stati americani: 29 conti finanziari congelati, 21 siti web fraudolenti abbattuti, circa 200 computer sequestrati. Oltre 100 aziende americane erano state infiltrate, con identità rubate di più di 80 cittadini statunitensi.
Nel 2026, le operazioni si sono ulteriormente internazionalizzate: iraniani, siriani, sauditi vengono reclutati come proxy per superare i controlli identitari. Il regime produce e studia le registrazioni dei colloqui di lavoro falliti per migliorare le tecniche.
Come i Soldi Spariscono: il Ciclo in 9 Fasi
Il processo di riciclaggio documentato dal MSMT avviene in nove fasi:
- I fondi rubati vengono immediatamente convertiti in Ethereum su exchange decentralizzati
- Mixer come Tornado Cash (o alternative post-designazione OFAC) oscurano le tracce
- ETH convertito in Bitcoin via bridge cross-chain
- Secondo round di mixing
- Bitcoin conservato in cold wallet
- Conversione in Tron (TRX)
- TRX convertito in USDT (stablecoin)
- USDT inviato a broker over-the-counter
- Conversione finale in contanti
I broker OTC identificati operano principalmente in Cina, Russia e Cambogia. L'organizzazione cambogiana Huione Group — con azionista il cugino del Primo Ministro Hun Manet — ha elaborato almeno 4 miliardi di dollari di proventi illeciti tra 2021 e 2025, di cui 37 milioni direttamente collegati a Lazarus. FinCEN l'ha dichiarata "Primary Money Laundering Concern" nel 2025.
La velocità è l'arma più efficace: i fondi di Bybit sono stati lavati completamente in 11 giorni. Le autorità pubblicano gli indirizzi wallet in ore, ma i fondi si muovono in minuti.
Perché Nessuno Riesce a Fermarlo
C'è un paradosso al cuore della risposta internazionale alla minaccia nordcoreana: le sanzioni non funzionano su chi è già sotto sanzione totale.
Il contesto geopolitico peggiora la situazione. Nel 2024, la Russia ha posto il veto al rinnovo del mandato del Gruppo di Esperti del Consiglio di Sicurezza ONU che monitorava le attività nordcoreane. L'MSMT è una risposta informale di 11 paesi — senza poteri coercitivi. La supervisione internazionale si è indebolita esattamente mentre i furti aumentavano.
Sul piano tecnico, il DeFi introduce vulnerabilità sistemiche: Kelp DAO, attaccata il 18 aprile 2026 per 292 milioni di dollari in 46 minuti, usava una configurazione con un singolo nodo verificatore per i suoi bridge cross-chain. LayerZero aveva documentato il rischio. Kelp non aveva implementato il multi-verifier.
I Missili Pagati con il Bitcoin di Qualcun Altro
Il rapporto MSMT di ottobre 2025 è esplicito: i fondi rubati vengono utilizzati per finanziare "research and development of nuclear arms" e per "make military purchases to evade international sanctions tied to its nuclear program".
CrowdStrike, nell'analisi di gennaio 2026 di Golden Chollima, scrive che la Corea del Nord "richiede entrate aggiuntive per finanziare piani militari ambiziosi che includono la costruzione di nuovi cacciatorpedinieri, la costruzione di sottomarini a propulsione nucleare e il lancio di ulteriori satelliti da ricognizione."
Un missile balistico intercontinentale come il Hwasong-17 — testato ripetutamente negli ultimi tre anni — costa tra 30 e 50 milioni di dollari a lancio. Kim Jong Un ne ha lanciati oltre cento tra il 2022 e il 2025.
Chi ha perso i fondi in un hack crypto non sapeva di finanziare questo. Ma è quello che è successo.
Conclusione: La Banca Centrale di Kim
Nei libri di testo di economia, si insegna che uno Stato senza accesso ai mercati dei capitali internazionali non può finanziarsi. La Corea del Nord ha trovato un'eccezione pratica a questa regola.
Dove le banche centrali emettono debito per raccogliere capitali, il Reconnaissance General Bureau emette hacker. Il risultato — accesso a miliardi di dollari annui — è funzionalmente identico. Ma non ci sono holder di obbligazioni da convincere, non ci sono tassi di interesse da gestire, non ci sono covenant di credito da rispettare.
Il sistema crypto che si proponeva come alternativa democratica alla finanza tradizionale è diventato, parzialmente, il meccanismo di finanziamento di un regime autoritario con testate nucleari.
I dati ci sono. Mancava qualcuno che li leggesse tutti insieme.
Come sono diventati 7 miliardi? Ogni volta che un exchange, un protocollo DeFi, o un'azienda tech ignora un avviso di sicurezza.
Fonti primarie
- FBI PSA250226 — Bybit hack attribution (ic3.gov, 26 febbraio 2025)
- Chainalysis — 2026 Crypto Crime Report (chainalysis.com/blog)
- MSMT Report — North Korea cyber theft (msmt.info, ottobre 2025)
- DOJ Press Release — IT Workers nationwide action (30 giugno 2025)
- TRM Labs — The Bybit Hack: Following North Korea's Largest Exploit
- Elliptic — North Korea Linked Hackers Stolen Over $2 Billion in 2025
- FinCEN — Huione Group Primary Money Laundering Concern (2025)
- OFAC SDN — Lazarus Group / Amnokgang Technology (marzo 2026)
- CrowdStrike — 2026 Global Threat Report (gennaio 2026)
- AP News — North Korea hacking report (ottobre 2025)