مجموعة لازاروس: كيف يسرق قراصنة الإنترنت الكوريون الشماليون العملات المشفرة
سرقت مجموعة قرصنة واحدة من العملات المشفرة أكثر من أي مجموعة أخرى في التاريخ. وتعمل هذه المجموعة لصالح حكومة. مجموعة لازاروس هي وحدة القرصنة الحكومية في كوريا الشمالية، وسرقة العملات المشفرة بالنسبة لها ليست مجرد عمل جانبي، بل هي وظيفتها الأساسية، ومصدر دخل رئيسي للدولة. في عام جيد، وفقًا لمعاييرهم، تستنزف المجموعة أكثر من ملياري دولار من منصات التداول، وشبكات الربط، والمحافظ الإلكترونية العادية. ويختفي معظم هذا المبلغ قبل أن يتم الإبلاغ عنه.
يتناول هذا الدليل هويتهم، وأكبر عمليات السطو المرتبطة بهم، وكيفية تنفيذ الهجوم، وكيفية غسل الأموال، ومقدار الأموال التي اختفت. وينصب التركيز على العملات الرقمية، حيث تدور أحداث هذه القصة الآن.
من هي مجموعة لازاروس حقاً؟
انسَ صورة القرصان المنفرد ذي القلنسوة. فمجموعة لازاروس أقرب إلى دائرة حكومية ذات رواتب. تربطها وكالات غربية بمكتب الاستطلاع العام في كوريا الشمالية، وهو جهاز الاستخبارات الخارجية الرئيسي في البلاد، وبالوحدات التي تُعرف أحيانًا باسم المكتب 121. يتتبعها باحثو الأمن السيبراني كمجموعة تهديد واحدة، مع أنها في الواقع مجموعة من الفرق التي تُدير عمليات الهجوم السيبراني للحكومة الكورية الشمالية. أما الأشخاص الذين يقفون وراء لوحات المفاتيح، فهم مدربون ومُكلفون ومُحددون مهامهم، وقائمة أهدافهم تُحددها الدولة.
تُعرف المجموعة بأسماء عديدة بحسب مُعدّ التقرير: APT38، وHidden Cobra، وGuardians of Peace، وLabyrinth Chollima. ويُقسّمها المحللون إلى فرق فرعية ذات مهام مُختلفة. ففريق BlueNoroff يُلاحق البنوك وشركات العملات الرقمية للحصول على المال، بينما يميل فريق Andariel إلى التجسس والتخريب، أما فريق Lazarus الأوسع نطاقًا فيتولى الهجمات الرئيسية. وقد نشطت المجموعة بشكلٍ أو بآخر منذ حوالي عام 2009، ما يجعلها واحدة من أقدم الجهات الفاعلة في مجال التهديدات الإلكترونية وأكثرها دافعًا ماليًا في العالم.
ما يُميّز لازاروس عن معظم قراصنة الدول هو الدافع. فروسيا والصين تتجسسان في الغالب، بينما تسرق كوريا الشمالية لتمويل نفسها. في سبتمبر/أيلول 2019، فرضت وزارة الخزانة الأمريكية عقوبات رسمية على لازاروس ومجموعتين مرتبطتين بها، هما بلو نوروف وأندارييل، مُصنّفةً إياها كأذرع للدولة الكورية الشمالية. وقد لخصت إحدى شركات الأمن المجموعة بإيجاز: عصابة إجرامية تحمل راية.
من سوني إلى واناكراي: السنوات الأولى
قبل ظهور العملات الرقمية، بنت شركة لازاروس اسمها على الفوضى. ففي عام ٢٠١٤، حققت الشركة نجاحًا باهرًا، حيث أنتجت فيلمًا كوميديًا بعنوان "حراس السلام"، وتسببت في تعطيل أنظمة، وتسريب أفلام لم تُعرض بعد، وكشفت عن سنوات من رسائل البريد الإلكتروني الداخلية. ما الدافع الظاهر؟ فيلم كوميدي يسخر من زعيم كوريا الشمالية. صاخب، سياسي، مدمر. لم يحقق أرباحًا بعد.
ثم جاء دور المال. ففي عام 2016، كادت المجموعة أن تُنفذ واحدة من أكبر عمليات السطو على البنوك على الإطلاق، حيث أرسلت رسائل احتيالية عبر نظام سويفت لسحب 951 مليون دولار من حساب بنك بنغلاديش لدى بنك الاحتياطي الفيدرالي في نيويورك. إلا أن خطأً مطبعياً وقليلاً من الحظ حالا دون ذلك، إذ تمكنوا من هروب حوالي 81 مليون دولار. أثبت هذا الهجوم الإلكتروني أن مجموعة لازاروس قادرة على سرقة المؤسسات المالية عبر لوحة المفاتيح، وحوّلت الجريمة الإلكترونية التي تديرها الدولة إلى مصدر ربح حقيقي.
ثم ظهر فيروس WannaCry في عام 2017، وهو دودة فدية شلّت مئات الآلاف من الأجهزة في حوالي 150 دولة، وألحقت أضرارًا بالغة بمستشفيات بريطانية. كان تنفيذه رديئًا ولم يحقق أي ربح يُذكر، لكنه أظهر مدى نفوذه. لذا، بحلول الوقت الذي نضجت فيه العملات المشفرة، كانت شركة Lazarus قد اكتسبت بالفعل خبرة عقد من الزمن في تحويل أموال لا يحق لها التصرف بها.
لماذا يستهدف قراصنة كوريا الشمالية العملات المشفرة
بالنسبة لنظام معزول عن النظام المصرفي العالمي، تُعدّ العملات المشفرة في غاية السهولة. صحيح أن العقوبات قد تُجمّد حسابًا مصرفيًا وتمنع تحويلات سويفت، لكن لا أحد يستطيع منع محفظة إلكترونية من استقبال الأموال. تنتقل العملات المشفرة عبر الحدود في دقائق، وتُسوى بشكل نهائي، ويمكن إعادة توجيهها عبر أدوات مصممة لإخفاء مصدرها.
لذا، غيّرت كوريا الشمالية استراتيجيتها. لماذا تُخاطر بسرقة بنك يُمكن إلغاؤها بمكالمة هاتفية واحدة، بينما يُدرّ استغلال ثغرة في نظام التحويلات الرقمية أرباحًا تفوقها بعشرة أضعاف ولا يُمكن استردادها؟ فالوضع الاقتصادي غير متكافئ لصالح المهاجم. يتم تجميد أي تحويل فاشل عبر نظام سويفت وإعادته، بينما يصبح سحب الأموال من نظام التحويلات الرقمية نهائيًا بمجرد تأكيد العملية. لا يوجد طرف مقابل للاتصال به، ولا إمكانية لاسترداد الأموال، ولا محكمة مختصة بالنظر في أمر المحفظة. ويُقدّر المحققون والأمم المتحدة الآن أن العملات الرقمية المسروقة تُموّل جزءًا كبيرًا من دخل البلاد من العملات الأجنبية، وجزءًا هامًا من برنامجها التسليحي، مع العلم أن هذه النسب الدقيقة مستمدة من تقييمات استخباراتية وليست من مصادر متاحة للعموم.
أكبر عمليات سرقة العملات المشفرة لمجموعة لازاروس
لم تعد الأرقام تبدو كجرائم منذ فترة. بل أصبحت أشبه بميزانية دولة. أكبر عملية سرقة منفردة، وهي اختراق منصة Bybit، تفوق في حجمها عمليات السرقة اللاحقة مجتمعة، وتتجاوز في حجمها أي عملية سطو على بنك في التاريخ لا تتعلق بالعملات الرقمية.
| عملية سطو | تاريخ | كمية | طريقة |
|---|---|---|---|
| بايت | فبراير 2025 | حوالي 1.5 مليار دولار | واجهة توقيع متعددة مُعدّلة |
| جسر رونين (أكسي) | مارس 2022 | حوالي 625 مليون دولار | مفاتيح التحقق الخاصة المسروقة |
| دي إم إم بيتكوين | مايو 2024 | حوالي 308 مليون دولار | موظف توظيف مزيف، موظف مخترق |
| وزير إكس | يوليو 2024 | حوالي 235 مليون دولار | اختراق البنية التحتية للمحافظ الإلكترونية |
| هارموني هورايزون | يونيو 2022 | حوالي 100 مليون دولار | مفاتيح الجسر المخترقة |
| محفظة أتوميك | يونيو 2023 | أكثر من 100 مليون دولار | تحديث برمجي خبيث |
بالتدقيق، تتكرر نفس نقاط الضعف. نجحت عملية سرقة رونين لأن المهاجمين تمكنوا من السيطرة على خمسة من مفاتيح التحقق التسعة التي تؤمن الجسر، وهو ما يكفي للموافقة على عمليات السحب الخاصة بهم، بعد اختراق مهندس كبير. أما بايبت فكانت أكثر دهاءً: فبدلاً من اختراق المحفظة الباردة ، قام المهاجمون بتخريب واجهة المستخدم التي يراها المُوقِّعون، فوافق الفريق على عملية تحويل بدت روتينية، بينما كانت في الواقع غير ذلك. في كلتا الحالتين، صمدت التشفير، لكن البشر والبرمجيات المحيطة بها لم يصمدوا.
تختلف المبالغ باختلاف المصدر لأنها عادةً ما تكون مرتبطة بسعر العملة الرقمية في ذلك اليوم، ويميل لازاروس إلى سرقة الأصول المتقلبة مثل الإيثيريوم. تتراوح قيمة رونين بين 540 مليون دولار و625 مليون دولار تقريبًا، وذلك بحسب الجهة التي تُحصي، بينما تُقدّر قيمة بايبت بين 1.4 مليار دولار و1.5 مليار دولار. والنمط الأساسي ثابت: استهداف منصات التداول ، ومنصات تداول العملات الرقمية، وبرامج المحافظ الرقمية، وهي نقاط الضعف التي قد يؤدي فشل واحد فيها إلى خسائر فادحة.
كيف انكشفت عملية اختراق مجموعة لازاروس
وهنا يكمن الجزء الذي يُثير دهشة الناس. فنادراً ما تبدأ هذه السرقات القياسية بعملية احتيال مُذهلة لا يُمكن إيقافها، بل تبدأ بخداع شخص ما. أما الجزء الذكي الذي لا رجعة فيه فيأتي لاحقاً، عندما يختفي المال.
طريقة الدخول: الوظائف الوهمية والتصيد الاحتيالي
لازاروس خبيثٌ وصبور. تعتمد استراتيجيته طويلة الأمد، والتي تُعرف غالبًا باسم "عملية الوظيفة المثالية"، على انتحال صفة مُوظِّف توظيف على لينكدإن أو في مجتمع المطورين، وعرض وظيفة أحلام في شركة تبدو حقيقية. خلال المقابلة، يصل "اختبار برمجة" أو ملف PDF، وعند فتحه يتم تثبيت برمجيات خبيثة. يُعتقد أن سرقة عملة البيتكوين من خلال DMM بدأت بهذه الطريقة تحديدًا، حيث قام مُوظِّف توظيف مُزيَّف باختراق موظف في شركة مُرتبطة. استُخدمت نفس الطريقة ضد المطورين في مختلف أنحاء القطاع من خلال حزم npm مُفخَّخة ومستودعات GitHub مُزيَّنة على أنها نماذج أعمال شرعية. لا يوجد جدار حماية يمنع مهندسًا قيل له إن الملف مهمة عمل، وهذا تحديدًا هو سبب كون الهندسة الاجتماعية، وليس ثغرة أمنية منيعة، هي التي تفتح معظم هذه الأبواب.
عمال تكنولوجيا معلومات مزيفون داخل المبنى
الحيلة الأحدث أكثر جرأة: فبدلاً من الاختراق، تتقدم كوريا الشمالية للوظيفة. إذ انتحل آلاف من موظفيها في مجال تكنولوجيا المعلومات صفة مطورين يعملون عن بُعد، مستخدمين هويات أمريكية مسروقة ومجموعات من أجهزة الكمبيوتر المحمولة يديرها وسطاء محليون، ليظهر العامل وكأنه يسجل دخوله من تكساس لا من بيونغ يانغ. وبمجرد توظيفهم في شركات التكنولوجيا والعملات الرقمية الغربية، يحولون رواتبهم إلى بلادهم، وأحيانًا يزرعون لهم إمكانية الوصول لسرقتها لاحقًا. وقد لاحقت وزارة العدل الأمريكية طرفي هذه الخطة، بما في ذلك قضية في ديسمبر 2024 اتهمت أربعة عشر كوريًا شماليًا ، وإجراءات في عام 2025 ضد الوسطاء المقيمين في الولايات المتحدة الذين استضافوا أجهزة الكمبيوتر المحمولة. إنه تجسس مُقنّع في صورة عملية دفع رواتب.
صرف الأموال: الخلاطات والجسور
سرقة العملات الرقمية نصف المهمة، أما النصف الأصعب فهو إنفاقها. يقوم لازاروس بتمرير الأموال المسروقة عبر منصات خلط العملات مثل تورنادو كاش، التي فرضت عليها الولايات المتحدة عقوبات في عام 2022، وسندباد، التي فرضت عليها عقوبات في أواخر عام 2023، ثم ينقل الأموال عبر سلاسل الكتل من خلال جسور وعمليات تبادل بين الأصول لإخفاء مسارها قبل صرفها عبر منصات تداول ذات إجراءات تفتيش ضعيفة. العملية سريعة ومؤتمتة؛ فبعد قضية بايبت، رصد المحققون انتشار الأموال عبر مئات المحافظ الرقمية في غضون ساعات. إنها عملية غسيل أموال على نطاق واسع، وتنجح بشكل متكرر لدرجة أن النظام يستمر في ممارستها.
كم سرق فريق لازاروس؟
بالنظر إلى الصورة الأوسع، يصعب استيعاب الأرقام. فبحسب شركة Chainalysis ، سرق قراصنة مرتبطون بكوريا الشمالية ما يقارب 2.02 مليار دولار من العملات الرقمية خلال عام 2025، بزيادة قدرها 51% عن العام السابق، ليصل إجمالي المسروقات إلى أكثر من 6.75 مليار دولار. وفي عام 2025، استحوذت كوريا الشمالية على ما يُقدّر بنحو 76% من إجمالي قيمة المسروقات من خدمات العملات الرقمية حول العالم. دولة واحدة، ثلاثة أرباع الخسائر.
| فترة | مسروق (عملات مشفرة) | مصدر |
|---|---|---|
| 2024 (أكدته الحكومات) | حوالي 659 مليون دولار | بيان مشترك بين الولايات المتحدة واليابان وكوريا الجنوبية |
| 2024 (مع ذكر المصدر بالكامل) | حوالي 1.19 مليار دولار | تشيناليسيس / مانديانت |
| 2025 | حوالي 2.02 مليار دولار | التحليل المتسلسل |
| الحد الأدنى على مر العصور | حوالي 6.75 مليار دولار | التحليل المتسلسل |
تختلف أرقام عام 2024 لأنها تقيس أمورًا مختلفة: فقد أكدت الحكومات عددًا محدودًا من عمليات السطو المحددة، بينما عزَت شركات التحليلات المزيد منها من خلال تتبع البيانات على سلاسل الكتل. وعلى أي حال، يشير الاتجاه إلى ارتفاع. أحصى فريق خبراء تابع للأمم المتحدة نحو 58 هجومًا مشتبهًا به على العملات المشفرة من قبل كوريا الشمالية بقيمة حوالي 3 مليارات دولار بين عامي 2017 و2023، حتى قبل تسجيل أرقام عامي 2024 و2025. وقد أفادت الهيئة نفسها بأن هذه الأموال تُستخدم لتمويل برنامج الأسلحة الكوري الشمالي، وهو ادعاء مستمد من معلومات استخباراتية للدول الأعضاء وليس من حسابات مدققة، ولكنه يُعيد صياغة كل اختراق لمنصة تداول العملات الرقمية ليُصبح أقرب إلى حدث جيوسياسي.
العقوبات، والاتهامات، والردود
إذن، ما الذي يمكن لأي شخص فعله حيال ذلك؟ تسميتهم، ومعاقبتهم، وتوجيه الاتهامات إليهم. اعتقالهم، نادراً ما يحدث، لأنهم يقيمون في بيونغ يانغ.
لقد تراكمت الأدلة بشكل كبير الآن. أدرجت وزارة الخزانة الأمريكية شركة لازاروس على القائمة السوداء عام ٢٠١٩، ثم لاحقت شركات خلط العملات الرقمية التي تعتمد عليها، وهما تورنادو كاش وسينباد. كما كثّف المدّعون العامّون جهودهم، ووجّهوا اتهامات إلى قراصنة معروفين منذ عام ٢٠٢١، ومؤخراً، إلى الأشخاص الذين يديرون شبكة توظيف العاملين في مجال تكنولوجيا المعلومات الوهميين. نتمنى لكم التوفيق في تنفيذ أوامر التفتيش.
استعادة الأموال أمرٌ نادرٌ للغاية. بعد سرقة رونين، استعاد المحققون جزءًا من الأموال بمساعدة مكتب التحقيقات الفيدرالي وشركة تشايناليسيس. جزءٌ ضئيل. أما الباقي فقد ضاع. وللعقوبات ميلٌ إلى نقل المشكلة من مكانٍ لآخر: فإذا أُدرجت تورنادو كاش على القائمة السوداء، تحوّلت الأموال إلى سندباد؛ وإذا ضُبط سندباد، وجدت المجموعة جهةً أخرى لخلط الأموال. كل خطوةٍ تجعل سحب الأموال أكثر تكلفةً وسوءًا. لا شيء من ذلك يوقف السرقة من جذورها. لا يمكن تسليم حكومة.
هل يمكن إيقاف جماعة لازاروس؟
بصراحة، لا يكفي الاعتماد على العقوبات وحدها. فالدفاع الحقيقي يبدأ قبل وقوع الاختراق، ويقع على عاتق منصات التداول والمستخدمين لا المدعين العامين. وهذا يعني فرض موافقات صارمة على التحويلات الكبيرة عبر الأجهزة، والتعامل مع أي مُجنّد غير مرغوب فيه كتهديد لا كفرصة، ورفض السماح لجهاز كمبيوتر محمول واحد مخترق بالتنازل عن أموال طائلة. كما يعني التحقق من صحة ما يتم التوقيع عليه بدلاً من الاكتفاء بالوثوق بشاشة، وهي الثغرة نفسها التي كلّفت شركة Bybit أكثر من مليار دولار. التفاوت صارخ: يجب أن يكون المدافعون على صواب في كل مرة، بينما يحتاج Lazarus إلى مهندس واحد لفتح ملف واحد. الهدف الواقعي ليس القضاء على المجموعة، بل جعل كل عملية سرقة أبطأ وأصغر وأصعب في التبييض، بحيث لا يكون هناك مجال لاكتشاف ثغرة المليار دولار التالية.
لماذا تُعدّ مجموعة لازاروس مهمة بالنسبة للعملات الرقمية؟
استغل لازاروس أبرز مزايا العملات الرقمية، وهي كونها بلا حدود ولا يمكن استردادها، وحوّلها إلى أداة لتمويل الدول. هذا هو الدرس المزعج: التصميم نفسه الذي يُحرر الأموال من البنوك يُحررها أيضاً من إمكانية استردادها. لم يعد أمن العملات الرقمية مجرد هاجس شخصي يتعلق بمفاتيحك الخاصة، بل أصبح مسألة أمن قومي لعدة دول في آن واحد. كل جسر غير مُدقق وكل منصة تداول ذات ضوابط متساهلة تُشكل بنداً محتملاً في ميزانية الصواريخ. السؤال الذي يستحق التفكير فيه هو: كيف يُمكن لنظام مالي مفتوح وغير خاضع للرقابة أن يدافع عن نفسه ضد خصم صبور وممول جيداً، يتعامل مع عمليات السرقة واسعة النطاق كمسألة سياسة خارجية؟
