Hackers norte-coreanos roubam recorde de 2 bilhões de dólares em criptomoedas em 2025, padrão de lavagem de dinheiro de 45 dias exposto

A empresa de análise de blockchain Chainalysis revelou no seu último relatório que hackers relacionados à Coreia do Norte roubaram pelo menos 2 mil milhões de dólares em criptomoedas em 2025, estabelecendo um recorde histórico e registando um aumento de 51% em relação ao ano anterior, com o total acumulado de roubos já atingindo 6,75 mil milhões de dólares. Os padrões de ataque apresentam uma característica de “poucos, mas precisos”: apesar de uma redução no número de incidentes, o tamanho de cada ataque é enorme, sendo que 76% dos ataques ao nível de serviços tiveram origem nesses hackers, com o incidente de vulnerabilidade na Bybit em março, que resultou em 1,4 mil milhões de dólares, sendo o principal impulsionador.

O relatório descreve pela primeira vez de forma sistemática o percurso único de lavagem de dinheiro dos hackers norte-coreanos: dependem de fornecedores de serviços em chinês e de mixers, seguindo um ciclo típico de 45 dias para a limpeza de fundos. Isto indica que a indústria de criptomoedas enfrenta uma “ameaça superpoderosa”, apoiada por Estados, altamente organizada e com recursos financeiros abundantes, representando um desafio sem precedentes para a segurança, proteção e conformidade das trocas e protocolos globais.

O aumento do volume de roubos: de “apanhar tudo” a “caçar com precisão”

Em 2025, o setor de roubos de criptomoedas assistiu a um ponto de viragem preocupante: o total global de fundos roubados subiu para 3,4 mil milhões de dólares, sendo que quase dois terços desse valor podem ser atribuídos a uma única entidade — um grupo de hackers ligado ao governo da Coreia do Norte. Segundo o relatório autoritativo da Chainalysis, esses hackers roubaram pelo menos 2,02 mil milhões de dólares em 2025, um aumento de 51% em relação a 2024 e quase 6,7 vezes o nível de 2020. Ainda mais importante, esse recorde foi alcançado num contexto de uma redução significativa no número de ataques conhecidos, evidenciando uma evolução tática de ataques frequentes para operações de “cirurgia” de alta precisão, focadas em alvos de alto valor.

Este padrão de “poucos, mas grandes” é claramente refletido nos dados. O relatório indica que, em 2025, os hackers norte-coreanos foram responsáveis por 76% das invasões ao nível de serviços, a maior proporção de sempre. Aqui, “nível de serviço” refere-se principalmente às exchanges centralizadas (CEX), plataformas de custódia e outros serviços que detêm grandes ativos de utilizadores. O evento mais emblemático foi o ataque de 1,4 mil milhões de dólares na Bybit em março de 2025, que representou a maior parte do total roubado pelos hackers norte-coreanos nesse ano. Andrew Fierman, responsável pela segurança nacional na Chainalysis, comentou: “Esta evolução é uma continuação de uma tendência de longo prazo. Os hackers norte-coreanos têm demonstrado uma complexidade elevada ao longo do tempo, e as ações de 2025 evidenciam que continuam a evoluir suas táticas e objetivos preferenciais.” Isto sugere que os atacantes estão a maximizar a relação risco-retorno, concentrando recursos em alvos que possam proporcionar retornos disruptivos.

Esta mudança representa uma ameaça estrutural ao ecossistema de criptomoedas. Quando os atacantes visam plataformas de serviço essenciais e de importância sistémica, o sucesso não só causa perdas financeiras elevadas, mas também prejudica a confiança do mercado, desencadeando crises de confiança em cadeia e uma maior supervisão regulatória. Ao contrário de pequenos roubos a carteiras pessoais, esses ataques ameaçam a infraestrutura fundamental do setor.

Lavagem de dinheiro em modo de engenharia: revelando a linha de produção de “limpeza” de fundos de 45 dias

Roubar fundos é apenas o primeiro passo; a verdadeira questão é como lavar o dinheiro ilícito e transformá-lo em dinheiro legítimo, fechando o ciclo de operações dos hackers. Outro contributo central do relatório da Chainalysis é a descrição clara do padrão altamente profissional e engenhoso de lavagem de dinheiro dos grupos norte-coreanos, que difere significativamente das atividades de lavagem de dinheiro de grupos criminosos comuns.

Primeiro, na estratégia de transferência de fundos, os hackers norte-coreanos demonstram uma forte consciência anti-investigação. Tendem a dividir grandes quantidades de fundos roubados em lotes menores que 50 mil dólares para transferências na cadeia, com mais de 60% das transações controladas por esse limite. Em contraste, hackers sem ligação estatal preferem transferências de milhões ou dezenas de milhões de dólares. Essa técnica de “dividir para conquistar” aumenta significativamente a complexidade e o custo de rastreamento na cadeia, sendo um sinal de operações cada vez mais sofisticadas em termos de segurança operacional (OPSEC).

Em segundo lugar, na escolha de serviços, a preferência revela dependências geográficas e restrições específicas. Os hackers norte-coreanos usam massivamente serviços de garantia em chinês, corretores e redes OTC (over-the-counter), além de depender fortemente de pontes cross-chain e mixers (como Tornado Cash) para confundir o fluxo de fundos. Curiosamente, quase não utilizam protocolos DeFi de empréstimo ou exchanges descentralizadas (DEX) comuns a outros criminosos. A Chainalysis aponta que esses padrões indicam que os atores norte-coreanos estão sujeitos a restrições diferentes e profundamente ligados a redes de serviços ilegais específicas na Ásia-Pacífico, possivelmente devido ao seu isolamento do sistema financeiro global.

Processo padrão de lavagem de dinheiro de 45 dias dos hackers norte-coreanos

Fase 1: Confusão rápida (dias 0-5)

• Objetivo principal: Desconectar imediatamente os fundos roubados da origem.
• Ferramentas principais: mixers, protocolos DeFi (para rápida conversão de tipos de ativos).
• Propósito: Criar obstáculos iniciais à rastreabilidade, ganhando tempo para operações subsequentes.

Fase 2: Consolidação e dispersão (dias 6-20)

• Objetivo principal: Levar fundos para ecossistemas mais amplos, preparando-se para a monetização.
• Ferramentas principais: exchanges centralizadas com requisitos KYC relaxados, pontes cross-chain, serviços de mixers secundários.
• Propósito: Transferir entre diferentes blockchains, ativos e plataformas, aumentando a confusão do percurso e começando a explorar canais de saída potenciais.

Fase 3: Monetização final (dias 21-45)

• Objetivo principal: Converter criptomoedas em moeda fiduciária ou outras formas difíceis de rastrear.
• Ferramentas principais: exchanges sem KYC, plataformas de troca instantânea, serviços OTC em chinês, re-misturar em CEXs legítimos para combinar com fluxos de transações legais.
• Propósito: Completar a última etapa de lavagem, realizando o valor econômico do roubo.

Revolução tática: AI e “infiltração interna” como novas armas

Para alcançar roubos de grande escala e lavagem eficiente, os métodos tradicionais já não são suficientes. O relatório da Chainalysis e pistas do setor indicam que os hackers norte-coreanos podem estar a realizar uma “revolução tática” em dois aspectos, ganhando vantagens assimétricas.

Primeiro, a aplicação intensiva de inteligência artificial (IA). Fierman afirmou claramente à mídia que a Coreia do Norte está a usar IA como uma “superpotência” nas suas operações de hacking, especialmente na lavagem de dinheiro. Ele disse: “A Coreia do Norte promove a limpeza de fundos de roubos de criptomoedas com consistência e fluidez, o que sugere o uso de IA. O mecanismo estrutural e a escala dessas operações criam um fluxo de trabalho que combina mixers, protocolos DeFi e pontes cross-chain… Para roubar tamanha quantidade de criptomoedas de forma tão eficiente, a Coreia do Norte precisa de uma vasta rede de lavagem e de mecanismos otimizados, que podem ser a aplicação de IA.” A IA pode ser usada para gerar e alternar endereços de carteiras automaticamente, otimizar rotas de transação para evitar modelos de monitoramento, e até simular comportamentos de utilizadores normais para se misturar nas trocas, aumentando a dificuldade de contra-a