Roubo de criptomoedas de US$ 2,8 bilhões pela Coreia do Norte financia ambições militares

A Coreia do Norte depende de grupos de hackers apoiados pelo Estado, como Lazarus, para financiar seu exército, sendo que criptoativos roubados representam quase um terço de suas receitas em moeda estrangeira e fornecem um fluxo constante de dinheiro ilícito imune às sanções tradicionais.

Em um relatório de 22 de outubro, a Equipe Multilateral de Monitoramento de Sanções afirmou que, entre janeiro de 2024 e setembro de 2025, agentes norte-coreanos orquestraram roubos de criptomoedas totalizando pelo menos $2,8 bilhões, por meio de grupos de hackers apoiados pelo Estado e cibercriminosos que têm como alvo o setor de ativos digitais.

A maior parte do montante veio de incidentes de grande escala, incluindo o exploit de fevereiro de 2025 na Bybit, que sozinho representou cerca de metade do total. O relatório atribui esses exploits a conhecidos agentes de ameaça norte-coreanos, utilizando métodos sofisticados de ataque à cadeia de suprimentos, engenharia social e comprometimento de carteiras.

O arsenal sofisticado de roubo e evasão da Coreia do Norte

As operações cripto da Coreia do Norte giram em torno de um ecossistema restrito de grupos de hackers ligados ao Estado, sendo os principais Lazarus, Kimsuky, TraderTraitor e Andariel, cujas marcas aparecem em praticamente todas as grandes violações de ativos digitais dos últimos dois anos.

De acordo com analistas de cibersegurança, essas equipes operam sob o Bureau Geral de Reconhecimento, o principal braço de inteligência de Pyongyang, coordenando ataques que imitam a eficiência do setor privado. Sua principal inovação tem sido contornar as exchanges completamente, mirando, em vez disso, os provedores terceirizados de custódia de ativos digitais que as exchanges utilizam para armazenamento seguro.

Ao comprometer a infraestrutura de empresas como Safe(Wallet), Ginco e Liminal Custody, agentes norte-coreanos obtiveram uma chave mestra para desviar fundos de clientes, incluindo Bybit, DMM Bitcoin do Japão e WazirX da Índia.

O ataque à DMM Bitcoin, que resultou em uma perda de $308 milhões e no eventual fechamento da exchange, foi iniciado meses antes, quando um agente do TraderTraitor, se passando por recrutador no LinkedIn, enganou um funcionário da Ginco para abrir um arquivo malicioso disfarçado de teste pré-entrevista.

Outros grupos patrocinados pelo Estado atuam em conjunto com esse esforço principal. O coletivo CryptoCore, embora menos sofisticado, realiza engenharia social em grande volume, se passando por recrutadores e executivos de negócios para infiltrar alvos.

Enquanto isso, o Citrine Sleet ganhou reputação por implantar softwares de negociação de criptomoedas trojanizados. Em um incidente detalhado de outubro de 2024, um agente do Citrine Sleet, se passando por um ex-contratado confiável no Telegram, enviou um arquivo ZIP malicioso para um desenvolvedor da Radiant Capital, levando ao roubo de $50 milhões.

A trilha de lavagem aponta de volta para a Coreia do Norte

Uma vez roubados, os ativos digitais entram em um processo complexo de lavagem em nove etapas, projetado para ocultar sua origem e convertê-los em moeda fiduciária utilizável. Os agentes cibernéticos da RPDC trocam sistematicamente os tokens roubados por criptomoedas estabelecidas como Ethereum ou Bitcoin, e então utilizam uma série de serviços de mixing, incluindo Tornado Cash e Wasabi Wallet.

Depois, eles utilizam pontes cross-chain e agregadores como THORChain e LI.FI para transitar entre blockchains, frequentemente convertendo os ativos misturados em USDT baseado em Tron para prepará-los para saque. Investigadores afirmaram que toda essa operação depende de uma rede de brokers over-the-counter, predominantemente na China, que aceitam o USDT lavado e depositam o valor equivalente em moeda fiduciária em contas bancárias controladas pela RPDC via cartões UnionPay chineses.

Essa campanha incessante de roubo digital tem consequências reais e graves no mundo físico. Os bilhões desviados do ecossistema cripto não desaparecem em um vazio burocrático. O relatório da MSMT conclui que esse fluxo de receita é fundamental para a aquisição de materiais e equipamentos para os programas ilícitos de armas de destruição em massa e mísseis balísticos da RPDC.

Ao fornecer um enorme fluxo de dinheiro ilícito imune às sanções financeiras tradicionais, a indústria global de criptomoedas foi transformada em uma arma, tornando-se uma financiadora não regulamentada e involuntária das ambições militares de Pyongyang. Os roubos não são meros crimes de lucro; são atos de política de Estado, financiando uma escalada militar que ameaça a segurança global.