Ataques de cibercrime da Coreia do Norte contra a indústria de criptomoedas estão crescendo em sofisticação e no número de grupos envolvidos nessas atividades criminosas, alerta a empresa cripto Paradigm em um relatório intitulado “Desmistificando a Ameaça Norte-Coreana”.

Segundo o relatório, os ataques originados da Coreia do Norte vão desde invasões a exchanges e tentativas de engenharia social até phishing e sequestros complexos da cadeia de suprimentos. Em alguns casos, os ataques levam até um ano para se concretizarem, com agentes norte-coreanos esperando pacientemente pelo momento certo.

A Organização das Nações Unidas estima que entre 2017 e 2023, hackers norte-coreanos arrecadaram US$ 3 bilhões para o país. Esse montante disparou em 2024 e neste ano, com ataques bem-sucedidos contra exchanges como a WazirX e a Bybit, que juntos renderam cerca de US$ 1,7 bilhão aos invasores.

A Paradigm aponta que pelo menos cinco organizações norte-coreanas estão por trás desses ataques: Lazarus Group, Spinout, AppleJeus, Dangerous Password e TraitorTrader. Há ainda uma coalizão de agentes norte-coreanos que se passam por trabalhadores de TI para se infiltrar em empresas de tecnologia ao redor do mundo.

Ataques de alto perfil e métodos de lavagem previsíveis

O Lazarus Group, o grupo hacker norte-coreano mais conhecido, é creditado por alguns dos ciberataques mais notórios desde 2016. Segundo a Paradigm, o grupo hackeou a Sony e o Banco de Bangladesh em 2016 e ajudou a orquestrar o ataque de ransomware WannaCry 2.0 em 2017.

O grupo também tem como alvo a indústria de criptomoedas, muitas vezes com grande impacto. Em 2017, atacou duas exchanges cripto — Youbit e Bithumb. Em 2022, explorou a Ronin Bridge, causando perdas de centenas de milhões em ativos. E em 2025, roubou US$ 1,5 bilhão da Bybit, causando choque na comunidade cripto. O grupo pode estar por trás de alguns golpes com memecoins na Solana.

Como explicam a Chainalysis e outras organizações, o Lazarus Group também adota métodos previsíveis de lavagem de dinheiro após obter os fundos. O grupo fragmenta os valores em porções menores, enviando-as para inúmeras outras carteiras.

Em seguida, troca moedas com pouca liquidez por ativos mais líquidos e converte grande parte para Bitcoin (BTC). Depois disso, os fundos roubados podem ficar parados por longos períodos, até que a atenção das autoridades diminua.

Até agora, o FBI identificou três supostos membros do Lazarus Group, acusando-os de crimes cibernéticos. Em fevereiro de 2021, o Departamento de Justiça dos EUA indiciou dois desses membros por envolvimento em crimes cibernéticos globais.