Relatório recente aponta operação sistemática de grupos ligados à Coreia do Norte que teriam roubado e lavado bilhões em criptomoedas, combinando ataques técnicos e emprego de trabalhadores de TI no exterior.
Descoberta e panorama
Segundo o relatório do Multilateral Sanctions Monitoring Team (MSMT), citado pela Cyber Security News, atores vinculados à Democratic People’s Republic of Korea (DPRK) teriam subtraído pelo menos USD 1,19 bilhão em criptomoedas em 2024 e mais USD 1,65 bilhão nos nove primeiros meses de 2025 — um total aproximado de USD 2,8 bilhões. Entre os incidentes citados está o ataque de fevereiro de 2025 contra a exchange Bybit, que resultou no roubo de cerca de USD 1,5 bilhão, apontado como o maior furto de criptomoedas registrado até então.
Abordagem técnica e cadeia de ataque
O relatório descreve campanhas que combinam engenharia social voltada a desenvolvedores e técnicas de malware com persistência. A chamada campanha “Contagious Interview” convida alvos a entrevistas on-line e os instrui a baixar pacotes maliciosos; ao serem executados, esses artefatos (identificados nas fontes como BeaverTail) coletam credenciais de carteiras e dados de cartão armazenados em navegadores e instalam o backdoor descrito como InvisibleFerret para acesso persistente.
Os vetores de execução citados incluem páginas falsas que exibem mensagens de erro de câmera e induzem o download de “drivers” ou scripts. Em macOS, a execução é feita por um script bash baixado via curl; em Windows, por um arquivo ZIP contendo um script VBS. Os operadores também usam a técnica denominada “ClickFix” para induzir a execução de comandos maliciosos. O malware comunica‑se com infraestrutura de comando e controlo (C2) por canais criptografados, o que, segundo as fontes, dificulta a detecção em níveis de rede.
Estrutura de lavagem e utilização dos fundos
O relatório do MSMT, conforme reproduzido pelo veículo, descreve um processo de lavagem em múltiplas etapas: swaps entre tokens em exchanges descentralizadas, uso de serviços de mixing como Tornado Cash e Wasabi Wallet, travessias por bridges de blockchain e, por fim, conversão para fiat via corretores OTC (over‑the‑counter). As fontes também afirmam que os recursos obtidos financiam programas estatais, incluindo arsenais de mísseis e armas de destruição em massa.
Uso de trabalhadores de TI e evasão de sanções
Além das ações técnicas, o relatório registra o uso de trabalhadores de TI ativos em plataformas de freelancing (Upwork, Freelancer, Fiverr) para facilitar operações e infiltrações. Esses trabalhadores teriam recorrido a rostos sintéticos gerados por IA e documentos forjados para passar por verificações de identidade, recebendo salários médios reportados de USD 10.000 por mês e remetendo parte significativa desses ganhos ao regime. O MSMT aponta presença desses trabalhadores em países como China, Rússia, Laos e diversos nações africanas.
Impacto e alcance
Os números citados — USD 1,19 bi em 2024 e USD 1,65 bi nos primeiros nove meses de 2025 — destacam um impacto financeiro substancial sobre o ecossistema de ativos digitais, com episódios como o ataque à Bybit respondendo por parcela expressiva do total. Outras vítimas mencionadas nas fontes incluem DMM Bitcoin (Japão) e WazirX (Índia).
Limites das informações
As fontes não trazem CVEs, hashes de amostras ou indicadores de compromisso (IoCs) detalhados no texto acessado, nem fornecem listas exaustivas de vítimas ou atribuições técnicas profundas além dos nomes de malwares e técnicas. Também não há, no material consultado, detalhes operacionais sobre a identificação dos operadores além das conclusões do MSMT. Onde há divergências ou lacunas técnicas, o relatório e a matéria indicam que as evidências são parte de uma investigação multilateral em curso.
Repercussão e próximos passos
O padrão descrito — combinação de ataques técnicos, emprego de trabalhadores de TI no exterior e fluxos complexos de lavagem de criptomoativos — levanta desafios para a aplicação de sanções e para controles financeiros. O MSMT recomenda medidas coordenadas entre autoridades financeiras, exchanges e plataformas de freelancing para mitigar vetores de recrutamento e bloqueio de rotas de lavagem. No curto prazo, as fontes sugerem reforço de controles KYC/AML, monitoramento de swaps e bridges e colaboração internacional para rastreamento de fundos.
O que profissionais de segurança devem observar
- Reforçar detecção de engenharia social dirigida a desenvolvedores e processos de onboarding com verificação de artefatos.
- Monitorar execuções de scripts via curl e artefatos ZIP/VBS, bem como atividade anômala de processos que possam indicar backdoors como o descrito.
- Cooperar com equipes financeiras para identificar padrões de lavagem (mixers, bridges, swaps frequentes).
As fontes não detalham cronograma de ações futuras por parte de estados ou exchanges afetadas; trata‑se de um conjunto de evidências reunidas e analisadas pelo MSMT e relatadas ao público pelo Cyber Security News.