Aumento de hackers na Coreia do Norte em 51%! Roubo anual de 2 mil milhões de dólares, rede de lavagem de dinheiro em chinês exposta

O relatório mais recente da Chainallysis mostra que o volume de roubo de criptomoedas a nível mundial em 2025 será de aproximadamente 3,4 mil milhões de dólares, dos quais pelo menos 20,2 mil milhões provinham de ataques relacionados com a Coreia do Norte, um aumento de 51% em relação a 2024 (um aumento de cerca de 6,81 mil milhões de dólares), um recorde. Os hackers norte-coreanos representam 76% de todos os incidentes de hacking e já roubaram pelo menos 67,5 mil milhões de dólares em ativos criptográficos até agora.

Os hackers norte-coreanos dominam 76% do roubo global de criptomoedas

(Fonte: Chainalysis)

2025 tornou-se o pior ano desde que a Coreia do Norte lançou a sua campanha de roubo de criptomoedas, com ataques relacionados a representarem 76% de todos os incidentes de hacking, um recorde. Esta proporção é extremamente impressionante, o que significa que 3 em cada 4 roubos de criptomoedas no mundo estão relacionados com a Coreia do Norte. Este domínio não é acidental, mas resulta do investimento a longo prazo e da acumulação de tecnologia pela força cibernética ao nível estatal da Coreia do Norte.

Os 20,2 mil milhões de dólares em ganhos ilícitos são de importância estratégica para a Coreia do Norte. Segundo estimativas internacionais, o PIB anual da Coreia do Norte ronda entre 200 a 300 mil milhões de dólares, o que significa que os hackers roubam dinheiro equivalente a 6-10% do seu PIB. O roubo de criptomoedas tornou-se uma das principais fontes de divisas da Coreia do Norte depois de as sanções da ONU terem cortado a maioria dos seus canais comerciais habituais, que são usados para apoiar os seus programas de armas nucleares e mísseis balísticos.

A taxa anual de crescimento de 51% indica que as capacidades dos hackers norte-coreanos estão a aumentar rapidamente. Esta melhoria reflete-se não só ao nível técnico, mas também na sofisticação das estratégias de ataque. Desde os primeiros dias dos ataques brutais de phishing até à engenharia social em múltiplas fases atuais, infiltração na cadeia de abastecimento e implantação de insiders, os hackers norte-coreanos desenvolveram uma metodologia de ataque madura.

Dados de ataques de hackers norte-coreanos em 2025

Montante total roubado: 20,2 mil milhões de dólares, representando 76% do roubo global de criptomoedas, um aumento de 51% em relação a 2024

Histórico cumulativo de roubo: 67,5 mil milhões de dólares, com uma média de cerca de 8,4 mil milhões de dólares por ano de 2017 até ao presente

Maior caso único: Grande CEX troca 15 mil milhões de dólares, representando 74% do roubo total da Coreia do Norte em 2025

Acredita-se amplamente que o Grupo Lazarus tenha ligações próximas ao Gabinete de Reconhecimento Geral (RGB) de Pyongyang, gerando mais de 200 milhões de dólares em receitas ilícitas através de pelo menos 25 roubos de criptomoedas só entre 2020 e 2023. O grupo tem lançado ciberataques contra instituições financeiras e plataformas de criptomoedas há mais de uma década e é suspeito de estar envolvido no roubo de cerca de 36 milhões de dólares em ativos à Upbit, a maior exchange de criptomoedas da Coreia do Sul, no mês passado.

A estratégia de eventos e penetração de duas linhas das exchanges centralizadas

Segundo o relatório, o ataque à bolsa CEX em fevereiro deste ano foi o maior ataque individual na Coreia do Norte, causando cerca de 1,5 mil milhões de dólares em perdas. O incidente foi atribuído a um grupo ameaçador conhecido como TraderTraidor, também conhecido como Jade Sneet ou Slow Pisces. A empresa de segurança Hudson Rock apontou então que um computador infetado com o malware Lumma Stealer estava ligado à infraestrutura utilizada no ataque.

Os métodos de ataque do ataque CEX são extremamente sofisticados. Os hackers não atacaram diretamente o sistema de carteira fria da exchange, mas infiltraram-se nos funcionários da exchange através de engenharia social para aceder aos sistemas internos. Uma vez dentro da rede interna, os hackers movem-se lateralmente para sistemas críticos e acabam por aceder à gestão de chaves privadas. Esta cadeia de ataques envolve múltiplas fases, cada uma exigindo habilidade e paciência altamente especializadas.

Para além de piratear diretamente as exchanges, hackers norte-coreanos também têm conduzido ataques de engenharia social chamados “Operação Dream Job” há muito tempo. Utilizam plataformas como o LinkedIn e o WhatsApp para se fazerem passar por recrutadores e usam ofertas de emprego bem remuneradas como isco para chegar a profissionais de defesa, tecnologia, aviação e manufatura, para atrair alvos a descarregar e executar malware para roubar dados sensíveis ou estabelecer canais de infiltração a longo prazo.

Outra estratégia é a chamada operação “Wagemole”. O pessoal norte-coreano candidata-se a posições em tecnologia da informação em empresas estrangeiras sob identidades falsas, ou infiltra-se em empresas através de empresas de fachada para aceder a sistemas e serviços de encriptação, lançando assim ataques de alto impacto. A Chainalysis salientou que este método pode acelerar o movimento lateral e a velocidade inicial de acesso dos hackers antes de roubos em larga escala, o que pode ser uma das razões importantes para o número recorde de perdas este ano.

O Departamento de Justiça dos EUA anunciou que um homem de 40 anos em Maryland foi condenado por ajudar pessoal norte-coreano a fazer-se passar pelas suas identidades para se envolver em trabalhos de TI. A investigação revelou que o arguido permitiu que cidadãos norte-coreanos residentes em Shenyang, China, usassem a sua identidade para trabalhar para várias empresas e agências governamentais dos EUA, recebendo quase 1 milhão de dólares em compensação entre 2021 e 2024. Este caso revela o modo real de funcionamento do Wagemole.

Transferência de fundos em três fases da rede chinesa de branqueamento de capitais

No que diz respeito à gestão de fundos, os criptoativos roubados são normalmente transferidos através de um processo estruturado de branqueamento de capitais em várias etapas. O relatório salientou que os hackers norte-coreanos utilizam o Serviço Profissional de Branqueamento de Capitais em Chinês (serviço profissional chinês de branqueamento de capitais) e OTC (negociação de balcão), indicando uma relação próxima com redes financeiras subterrâneas na região de língua chinesa.

A primeira fase utilizou protocolos financeiros descentralizados e serviços de mistura de moeda para desviar rapidamente fundos poucos dias após o ataque. O objetivo desta fase é cortar rapidamente a associação direta dos fundos roubados com a morada original. Hackers dividem grandes quantias de dinheiro em milhares de pequenas transferências, fazendo transferências multi-hop através de mixers como o Tornado Cash e múltiplos protocolos DeFi, tornando a dificuldade de rastreamento exponencialmente maior.

A segunda fase será inicialmente integrada através de centrais, pontes cross-chain e serviços de mistura secundária. Os fundos são transferidos do Ethereum para outras cadeias como BSC, Tron e outras, aproveitando a complexidade do cross-chain bridging para obscurecer ainda mais os caminhos de rastreamento. Alguns dos fundos são transferidos para bolsas mais pequenas que suportam KYC mais fraco, convertidos em outras criptomoedas ou stablecoins.

Finalmente, dentro de cerca de 20 a 45 dias, os fundos são trocados por moeda fiduciária ou outros ativos. Esta fase é a mais crítica e perigosa, pois para que as criptomoedas se tornem moeda fiduciária utilizável, devem estar em contacto com o sistema financeiro tradicional. Os hackers norte-coreanos dependem principalmente de comerciantes OTC e bancos clandestinos na região de língua chinesa, que fornecem grandes quantidades de serviços de troca de criptomoedas e, em última análise, transferem fundos para contas controladas pela Coreia do Norte através de uma rede complexa de bancos.

O elevado grau de ligação do “sistema chinês” tem causado preocupação entre as autoridades judiciais dos EUA. Isto sugere que certas redes financeiras clandestinas na China continental, Hong Kong, Taiwan ou na comunidade chinesa no Sudeste Asiático estão a fornecer serviços críticos de branqueamento de capitais à Coreia do Norte. A complexidade desta rede criminosa transnacional torna extremamente difícil para as forças de segurança rastreá-las e reprimi-las.

Especialistas em segurança da informação alertam que as ameaças relacionadas com a Coreia do Norte estão constantemente a ajustar as suas táticas, passando da intrusão direta nos sistemas para métodos mais encobertos e indetetáveis de infiltração e abuso de plataformas. Com a popularidade das criptomoedas e do trabalho remoto, os riscos associados deverão continuar a aumentar, tornando-se um grande desafio para a proteção da informação regulatória e corporativa em vários países.