Os hackers apoiados pelo estado da Coreia do Norte quebraram recordes em 2024, roubando US$ 1,34 bilhão em cripto em apenas 47 ataques. Isso é mais do que o dobro dos US$ 660,5 milhões que eles roubaram em 20 incidentes em 2023, segundo um novo relatório da Chainalysis.

Esses ladrões digitais agora representam 61% de todo o cripto roubado globalmente este ano, consolidando o lugar de Pyongyang como o principal jogador no crime cripto. Funcionários dos EUA e internacionais alertam que esses fundos roubados financiam os programas de mísseis e armas da Coreia do Norte, contornando sanções e colocando em risco a segurança global.

O tempo entre ataques bem-sucedidos diminuiu drasticamente, especialmente para alvos de alto valor de US$ 50 milhões ou mais. Os operativos cibernéticos de Pyongyang mudaram seu jogo, focando mais em roubos em grande escala, enquanto mantêm um fluxo constante de operações menores de cerca de US$ 10.000.

Armando o roubo de cripto com infiltração interna

As táticas que esses hackers empregam são uma aula magistral em engano. Cada vez mais, trabalhadores de TI norte-coreanos estão se infiltrando em empresas legítimas, explorando oportunidades de trabalho remoto para infiltrar redes. Eles se fazem passar por profissionais altamente qualificados, usando identidades falsas e intermediários duvidosos para conseguir empregos.

Uma vez dentro, eles saqueiam informações proprietárias e até roubam diretamente das contas da empresa. O Departamento de Justiça dos EUA recentemente indiciou 14 norte-coreanos que realizaram esse esquema exato, roubando US$ 88 milhões enquanto se faziam passar por funcionários de empresas dos EUA.

O quadro mais amplo é ainda mais sombrio. Os cibercriminosos de Pyongyang estão mirando não apenas em empresas, mas na própria infraestrutura do mundo cripto. Em um dos hacks mais audaciosos do ano, eles atacaram a bolsa japonesa DMM Bitcoin, roubando 4.502,9 Bitcoin—valendo US$ 305 milhões na época.

Ao explorar fraquezas na infraestrutura da bolsa, eles canalizaram os ativos roubados através de misturadores e pontes cross-chain, tornando quase impossível rastreá-los. O resultado forçou a DMM Bitcoin a fechar, transferindo suas operações para outra bolsa sob um grande conglomerado financeiro.

Esse tipo de ataque não é raro. Os hackers da Coreia do Norte usam malware avançado, esquemas de phishing e engenharia social para obter acesso aos sistemas.

Eles literalmente aperfeiçoaram a arte de movimentar fundos roubados através de complexas cadeias de lavagem, muitas vezes usando serviços de mistura CoinJoin e mercados online obscuros para esconder a trilha do dinheiro.

Uma mudança de estratégia após julho

A primeira metade de 2024 viu os hackers de Pyongyang operando a todo vapor, mas sua atividade despencou após uma cúpula de alto perfil no final de junho. O presidente da Rússia, Vladimir Putin, e o líder supremo da Coreia do Norte, Kim Jong Un, se encontraram em Pyongyang para assinar um pacto de defesa mútua.

O relatório diz que logo após isso, houve uma queda acentuada no valor roubado pelos hackers norte-coreanos—uma diminuição de 53,73% na segunda metade do ano em comparação com a primeira. Enquanto isso, os hacks não norte-coreanos viram um leve aumento.

Os analistas são cautelosos ao traçar uma ligação direta entre a cúpula e a desaceleração nos ataques, mas você tem que admitir, a coincidência é difícil de ignorar. A Rússia liberou milhões de dólares em ativos norte-coreanos congelados por volta do mesmo período, potencialmente fornecendo a Pyongyang fontes alternativas de financiamento.

Por outro lado, a Coreia do Norte enviou tropas para a Ucrânia e supostamente buscou tecnologia militar avançada de Moscou, então seus recursos podem ter sido redirecionados para o conflito.

De Zero a Pro Web3: Seu Plano de Lançamento de Carreira de 90 Dias