DPRK mantém campanha agressiva contra cripto e movimenta US$ 37,5 milhões em 2026
Um ano após o roubo histórico de US$ 1,46 bilhão da exchange Bybit, operadores ligados à Coreia do Norte (DPRK) não apenas mantiveram o ritmo de ataques, como intensificaram suas campanhas de engenharia social contra a indústria global de criptoativos. Em 2025, o grupo estabeleceu um novo recorde, subtraindo US$ 2 bilhões, elevando o total conhecido para mais de US$ 6 bilhões. Esses recursos são diretamente canalizados para financiar os programas de armas nucleares e mísseis do regime.
O que mudou agora
Em janeiro de 2026, o número de explorações registradas foi o dobro do mesmo mês no ano anterior, indicando uma escalada clara na atividade. Pesquisadores da Elliptic identificaram que a engenharia social permanece como o vetor primário em todos os incidentes maiores ligados à DPRK, desde o ataque à Bybit até as explorações mais recentes. A sofisticação aumentou: os operantes agora utilizam inteligência artificial para criar identidades falsas e comunicações convincentes, dificultando drasticamente a detecção.
Campanhas em andamento e impacto financeiro
Duas campanhas principais, "DangerousPassword" e "Contagious Interview", continuam a gerar receita constante para o regime. A DangerousPassword inicia com uma conta de mídia social comprometida que entra em contato com um alvo, frequentemente mencionando um evento compartilhado no passado, e sugere uma videochamada. Quando a vítima se conecta via Zoom ou Microsoft Teams, é apresentada a um falso erro de áudio. A suposta correção — instalar um kit de desenvolvimento de software (SDK) via linha de comando — na verdade implanta malware que rouba chaves privadas, frases de recuperação (seed phrases) e senhas.
Já a Contagious Interview utiliza oportunidades de emprego fabricadas para atrair alvos. Durante um falso processo de integração, as vítimas são solicitadas a executar um teste de habilidades técnicas por meio de um repositório de código que contém malware oculto. Somadas, essas duas campanhas geraram US$ 37,5 milhões apenas entre 1º de janeiro e meados de fevereiro de 2026.
Alcance ampliado e implicações
A ameaça não se limita mais apenas às exchanges. Desenvolvedores, colaboradores de projetos e qualquer pessoa com acesso à infraestrutura de cripto estão em risco. O ato de executar código infectado em um dispositivo corporativo coloca toda a organização em perigo. Os fundos roubados da Bybit foram lavados por meio de endereços de reembolso, criação de tokens sem valor e serviços de mixagem diversificados, com grande parte sendo roteada por suspeitos serviços de negociação over-the-counter (OTC) chineses. Até agosto de 2025, mais de US$ 1 bilhão já havia sido processado.
Recomendações para organizações
Para se proteger, as organizações devem verificar rigorosamente todas as solicitações de instalação de software, examinar minuciosamente as identidades de colaboradores remotos e tratar ofertas de emprego não solicitadas com extrema cautela. A implementação de monitoramento comportamental, atualização contínua de assinaturas de proteção de endpoint e soluções robustas de filtragem de e-mail são medidas defensivas essenciais diante dessa ameaça persistente e em evolução.