Grupos vinculados à Coreia do Norte impulsionaram um aumento recorde no roubo global de criptomoedas em 2025, respondendo por pelo menos US$ 2,02 bilhões dos mais de US$ 3,4 bilhões furtados entre janeiro e início de dezembro.
De acordo com o Crypto Crime Report da Chainalysis, esse valor representa um crescimento de 51% em relação ao ano anterior, com um acréscimo de US$ 681 milhões frente a 2024, quando os ataques totalizaram US$ 1,3 bilhão.
A empresa de inteligência em blockchain destacou 2025 como o pior ano registrado para furtos de criptomoedas ligados à Coreia do Norte, representando 76% das violações de serviços e somando um total estimado de US$ 6,75 bilhões roubados desde então.
Um único incidente — o ataque à exchange Bybit em fevereiro — responde por US$ 1,5 bilhão desse montante.
A ofensiva foi atribuída ao grupo de ameaças conhecido como TraderTraitor (também chamado Jade Sleet e Slow Pisces).
Uma análise recente da Hudson Rock conectou um dispositivo infectado com o malware Lumma Stealer à infraestrutura usada na invasão da Bybit, por meio do e-mail “trevorgreer9312@gmail[.]com”.
Esses furtos integram uma série de ataques do grupo Lazarus, apoiado pela Coreia do Norte, que atua há mais de dez anos.
Recentemente, o grupo foi vinculado ao roubo de US$ 36 milhões da exchange sul-coreana Upbit.
O Lazarus Group é afiliado ao Reconnaissance General Bureau (RGB), agência de inteligência norte-coreana, e estima-se que tenha desviado pelo menos US$ 200 milhões em mais de 25 ações entre 2020 e 2023.
Além dos ataques, o Lazarus mantém uma campanha contínua chamada Operation Dream Job, na qual potenciais profissionais dos setores de defesa, manufatura, químico, aeroespacial e tecnologia são abordados via LinkedIn e WhatsApp com falsas ofertas de emprego.
O objetivo é induzi-los a instalar malwares como BURNBOOK, MISTPEN e BADCALL — este último disponível para Linux — permitindo a coleta de dados sensíveis e a geração de receitas ilícitas para o regime, burlando sanções internacionais.
Outra tática adotada por hackers norte-coreanos é infiltrar profissionais de TI em empresas ao redor do mundo com identidades falsas, atuando individualmente ou por meio de empresas de fachada como DredSoftLabs e Metamint Studio.
Esse esquema, apelidado Wagemole, facilita o acesso privilegiado a serviços de criptomoedas para promover ataques de grande impacto.
A Chainalysis indica que essa infiltração tem sido crucial para acelerar o acesso inicial e o movimento lateral dentro das organizações-alvo.
Os fundos roubados são posteriormente lavados por meio de serviços financeiros em língua chinesa, mixers, cross-chain bridges e marketplaces especializados, como Huione.
O processo de lavagem ocorre em três etapas ao longo de cerca de 45 dias: camada inicial (0 a 5 dias), envolvendo protocolos DeFi e serviços de mixing; integração inicial (6 a 10 dias), com transferências para exchanges e bridges; e integração final (20 a 45 dias), para conversão em moeda fiduciária ou outros ativos.
A Chainalysis ressalta que o uso intenso de serviços de lavagem em língua chinesa e negociações over-the-counter (OTC) indica que os hackers norte-coreanos estão bem conectados a atores ilícitos na região Ásia-Pacífico, alinhando-se à tradicional utilização de redes baseadas na China para acessar o sistema financeiro global.
Em paralelo, o caso do americano de Maryland Minh Phuong Ngoc Vong, condenado a 15 meses de prisão, ilustra outra faceta da ameaça: ele permitiu que norte-coreanos em Shenyang, China, usassem sua identidade para obter empregos em agências do governo dos EUA.
Entre 2021 e 2024, Vong conseguiu contratos em pelo menos 13 empresas americanas, incluindo a Federal Aviation Administration (FAA), recebendo cerca de US$ 970 mil por serviços de desenvolvimento de software realizados remotamente por conspiradores no exterior.
O Departamento de Justiça dos EUA explicou que Vong conspirou com indivíduos, entre eles um estrangeiro identificado como John Doe, para enganar empresas americanas.
Eles usaram informações falsas sobre as qualificações técnicas de Vong e compartilharam seus acessos computacionais para executar trabalhos remotamente e receber pagamentos.
Novas investidas no esquema de trabalhadores de TI evidenciam uma mudança tática.
Atores vinculados à Coreia do Norte agora atuam como recrutadores em plataformas como Upwork e Freelancer para ampliar as operações.
Segundo a Security Alliance, esses recrutadores utilizam roteiros específicos para convencer “colaboradores” a participar das fraudes, orientando desde o cadastro das contas até o compartilhamento de credenciais.
Em muitos casos, as vítimas acabam entregando o controle total de suas contas ou instalando ferramentas de acesso remoto, como AnyDesk e Chrome Remote Desktop, permitindo que os agentes atuem sob suas identidades, burlando controles de segurança e passando despercebidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...