A Equipa Multilateral de Monitorização de Sanções (MSMT) divulgou um relatório abrangente que documenta violações sistemáticas das sanções da ONU por parte da Coreia do Norte.
Entre 2024 e 2025, as operações cibernéticas norte-coreanas alcançaram uma escala sem precedentes no roubo de criptomoedas.
Só em 2024, os intervenientes ligados à RPDC roubaram aproximadamente 1,19 mil milhões de dólares, um aumento de 50% em termos anuais.
Revelador como a República Popular Democrática da Coreia (RPDC) emprega operações cibernéticas sofisticadas, destaca trabalhadores de TI e rouba criptomoedas para contornar as restrições internacionais, ao mesmo tempo que financia o desenvolvimento de armas e programas de mísseis balísticos.
A trajetória continuou a acelerar até 2025, com 1,65 mil milhões de dólares roubados apenas nos primeiros nove meses, elevando o total combinado para 2,8 mil milhões de dólares durante o período em análise.
Estas receitas representam agora cerca de um terço da receita total de divisas da RPDC, sublinhando o papel crítico da criptomoeda na evasão de sanções.
O incidente mais significativo envolveu a violação da TraderTraitor da Bybit em fevereiro de 2025, uma empresa com sede em Dubai. troca de criptomoedasresultando no roubo de quase US$ 1,5 bilhão, o maior roubo de criptomoeda da história.
Alvos adicionais de alto perfil incluíram o DMM Bitcoin do Japão e o WazirX da Índia, com ataques aproveitando vulnerabilidades da cadeia de suprimentos e comprometimentos de serviços de terceiros para contornar a autenticação multifatorial e os limites de transação.
Campanhas de ataque coordenadas e em evolução
O relatório da MSMT identifica vários sistemas sofisticados da RPDC Grupos APT operando de forma coordenada.
TraderTraitor (também conhecido como Jade Sleet e UNC4899) emergiu como o mais formidável, roubando aproximadamente US$ 2,58 bilhões entre janeiro de 2024 e setembro de 2025 por meio de engenharia social e intrusões na cadeia de suprimentos.
CryptoCore (Sapphire Sleet) roubou pelo menos US$ 33,5 milhões usando táticas de spear-phishing e pacotes npm maliciosos durante avaliações de habilidades falsas.
As metodologias de ataque evoluíram significativamente, incorporando IA generativa para criar identidades sintéticas e conduzir campanhas de phishing realistas.
A campanha “Entrevista Contagiosa”, descoberta pela Palo Alto Networks em 2023, evoluiu para “Entrevista ClickFake”operação até 2025, expandindo o direcionamento além dos desenvolvedores para funções não técnicas.
Os invasores agora aproveitam o ChatGPT e o DeepSeek para automatizar a engenharia social, desenvolver malware e aumentar a eficiência operacional.
A RPDC enviou entre 1.500 e 3.200 trabalhadores de TI em todo o mundo, gerando cerca de 350 a 800 milhões de dólares anualmente.
Esses trabalhadores se infiltram em empresas legítimas nos setores de inteligência artificial, blockchain, desenvolvimento web e defesa, criando identidades sintéticas usando rostos gerados por IA e credenciais forjadas.
Eles obtêm posições por meio de plataformas como Upwork, Freelancer, Fiverr, LinkedIn e Discord, usando serviços VPN para ocultar localizações e pagamentos em criptomoedas para evitar detecção.
De forma crítica, o relatório da MSMT documenta fronteiras cada vez mais confusas entre os trabalhadores de TI e os grupos de APT.
Alguns funcionários auxiliam as unidades cibernéticas na identificação de vulnerabilidades, no gerenciamento de bancos de dados e até na implantação de malware, enquanto outros se infiltram intencionalmente em empresas de defesa e IA para coletar inteligência técnica para operações futuras.
Redes de lavagem de criptomoedas
Os ciberatores da RPDC empregam processos complexos de lavagem em vários estágios, envolvendo pontes de blockchain, bolsas descentralizadas, misturadores de criptomoedas e comerciantes peer-to-peer.
Entre 2023 e 2024, o Temp.Hermit explorou vulnerabilidades em software de autenticação sul-coreano amplamente utilizado para espalhar código malicioso.
As descobertas da MSMT sublinham que Operações da RPDC constituem agora campanhas integradas que combinam infiltração de TI, comprometimento da cadeia de abastecimento, roubo na cadeia e lavagem de dinheiro transfronteiriça.
Os ativos roubados passam por uma sequência deliberada: troca em ETH e BTC, mistura através de serviços como Tornado Cash e Wasabi Wallet, ponte entre blockchains e, finalmente, conversão em moeda fiduciária através de corretores OTC em jurisdições incluindo o Camboja.
O First Credit Bank da RPDC utilizou empresas de serviços financeiros dos EUA para converter dólares americanos em renminbi, mantendo reservas em dezenas de carteiras de criptomoedas.
As organizações de exchanges, carteiras, serviços de custódia e equipes de desenvolvimento devem implementar arquiteturas de confiança zero, verificação aprimorada de antecedentes, auditorias de segurança da cadeia de suprimentos e monitoramento contínuo de inteligência de ameaças para combater esse cenário de ameaças persistente e em evolução.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.