Hackers norte-coreanos agora lavam criptomoedas roubadas através do misturador YoMix
19 de Fevereiro de 2024

O coletivo de hackers da Coreia do Norte, Lazarus, conhecido por realizar diversos grandes roubos de criptomoedas ao longo dos anos, passou a utilizar o misturador de bitcoin YoMix para lavar os fundos roubados.

Segundo um relatório da empresa de análise de blockchain Chainalysis, o Lazarus adaptou seu processo de lavagem após governos sancionarem vários serviços de mistura de bitcoin que o agente de ameaças usava.

A empresa diz que o YoMix viu um grande influxo de fundos ao longo de 2023, que não são atribuídos ao aumento da popularidade, mas sim à atividade de Lazarus.

O roubo de criptomoedas é apenas um aspecto das operações de Lazarus, ainda que uma parte muito importante de suas atividades, que se acredita financiar não apenas as operações do grupo, mas também o programa de desenvolvimento de armas da Coreia do Norte.

Algumas das maiores operações de roubo de criptomoedas que o Lazarus realizou nos últimos anos incluem o hack da Rede Ronin (Axie Infinity) em março de 2022, que rendeu 625 milhões de dólares, o hack do Harmony Horizon em junho de 2022 que resultou em perdas de 100 milhões de dólares, e o assalto ao Alphapo em julho de 2023 de onde os hackers embolsaram 60 milhões de dólares em cripto.

De janeiro de 2017 até dezembro de 2023, grupos de hackers norte-coreanos, incluindo Lazarus, Kimsuky, e Andariel, roubaram um estimado de 3 bilhões de dólares em cripto, de acordo com um relatório da Recorded Future.

O dinheiro passou por vários serviços de mistura de moedas que não atendem a regulamentações anti-lavagem de dinheiro e aceitam depósitos mesmo de carteiras marcadas para atividades suspeitas.

Os misturadores fazem os ativos circularem através de uma rede ofuscada de detentores de criptomoedas e os recebem em novos endereços de carteira que não podem ser rastreados até os ataques originais.

Ao longo dos anos, o Departamento do Tesouro dos EUA, Escritório de Controle de Ativos Estrangeiros (OFAC) identificou e sancionou algumas das plataformas usadas por Lazarus para lavar seus rendimentos, incluindo Blender, Tornado Cash, e Sinbad.

No entanto, toda vez que uma plataforma era sancionada e isolada do espaço criptográfico, Lazarus mudava para uma nova.

Chainalysis diz que YoMix é o último serviço usado pelo agente de ameaças da Coreia do Norte.

Chainalysis relata que YoMix viu um grande crescimento de fundos no segundo trimestre de 2023, mantido até o final do ano, o que é atribuído principalmente à lavagem de dinheiro.

"Baseado nos dados da Chainalysis, aproximadamente um terço de todos os influxos no YoMix vieram de carteiras associadas a invasões de criptomoedas", diz o relatório.

Chainalysis também diz que no ano passado notou uma tendência de concentração das atividades de lavagem de dinheiro em alguns serviços de saque de moedas fiduciárias, com 71,7% de todos os fundos ilícitos direcionados a apenas cinco serviços.

No entanto, no nível de endereço de depósito, a lavagem de dinheiro se tornou menos concentrada, sugerindo que os criminosos estão diversificando suas atividades para evitar detecção e congelamento de ativos pelas equipes de aplicação da lei e de conformidade.

Outros destaques do relatório incluem:

Endereços de carteira de cripto marcados enviaram $22,2 bilhões para serviços em 2023, uma diminuição em relação aos $31,5 bilhões em 2022.

109 endereços de depósito de exchange receberam mais de $10 milhões cada em criptomoedas ilícitas em 2023, recebendo coletivamente $3,4 bilhões em criptomoeda ilícita.

No ano passado, os fundos enviados para misturadores de endereços marcados foram de 504,3 milhões, uma queda de 50% em relação a 1 bilhão em 2022.

A utilização de bridge entre cadeias mostrou um crescimento significativo em 2023, com 743,8 milhões de dólares em cripto recebidos, comparado a 312,2 milhões em 2022.

O BleepingComputer contatou o YoMix com um pedido de comentário sobre o serviço ser usado por hackers da Coreia do Norte para lavar fundos ilegais, mas ainda não recebeu uma resposta.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...