O grupo norte-coreano Lazarus inicia ataques cibernéticos contra investidores individuais; um trader perde mais de US$ 5,2 milhões em criptomoedas

O grupo norte-coreano Lazarus foi associado a um ciberataque que roubou mais de US$ 5,2 milhões de um trader de criptomoedas em 24 de maio, segundo o investigador de blockchain ZackXBT. O roubo ocorreu por meio de um sofisticado ataque de malware, com fundos desviados de diversos tipos de carteiras, incluindo multisig, contas de propriedade externa (EOAs) e carteiras de exchanges. 

Odentdo Telegram da ZackXBT canal na terça-feira, insinuou que o grupo poderia estar mudando seu foco de indivíduos e empresas de alto patrimônio líquido para traders individuais de day trading. 

Após o roubo, aproximadamente 1.000 ETH foram transferidos para a Tornado Cash, um serviço de mistura de criptomoedas comumente usado para ocultar a origem de ativos digitais roubados. Os ativos roubados foram então prontamente liquidados no mercado aberto.

Endereços trac, Tornado Cash usado para lavagem de dinheiro

O canal de ZachXBT listou três Ethereum ligados ao roubo. Além de pequenos saldos de tokens QBX, Blocklords, Astra Protocol e DAI, totalizando cerca de US$ 1.340, o endereço possuía mais de 40 ETH, o que equivale a aproximadamente US$ 107.000 no valor de mercado atual. Acredita-se que esses fundos faziam parte dos lucros do ataque de malware.

No último fim de semana, apenas nove transações foram processadas usando o segundo endereço, que parecia ser novo. Ele enviou mais de 200 ETH para o endereço principal. Por fim, até a data desta publicação, o outro endereço de criptomoedas detinha cerca de US$ 2,7 milhões em DAI, o que representava a maior parte dos fundos roubados.

Esse padrão de conduta é consistente com o que foi constatado em um estudo recente da TRM Labs, que detalha a rede mundial de organizações criminosas russas e corretoras chinesas que atuam no mercado de balcão e que a Coreia do Norte utiliza para lavar seus lucros ilícitos.

O relatório alega que a Lazarus fornece a expertise técnica, mas seus parceiros fornecem os canais para integrar fundos roubados nos mercados de forma legítima.

A lavagem de dinheiro continua no segundo trimestre de 2025 

Em abril, a empresa de análise de blockchain SpotOnChain relatou que uma carteira supostamente associada a Lazarus vendeu 40,78 Wrapped Bitcoin (WBTC) por US$ 3,51 milhões. Os Bitcoin, originalmente comprados em fevereiro de 2023 por cerca de US$ 999.900, quando o WBTC era negociado a US$ 24.521, foram vendidos a US$ 83.459 por moeda, representando um lucro de 251% em dois anos. 

Hoje, o Grupo Lazarus (hackers norte-coreanos) vendeu 40,78 WBTC (US$ 3,51 milhões) com um lucro de US$ 2,51 milhões (+251%) — após tê-los comprado há 2 anos.

Eles gastaram 999,9 mil USDT para adquirir WBTC por cerca de US$ 24.521 em fevereiro de 2023 e o venderam por 1.857 ETH por cerca de US$ 86.170 apenas 12 horas atrás.

Os hackers então… pic.twitter.com/KYQmqnJnIC

— Spot On Chain (@spotonchain) 3 de abril de 2025

Os valores arrecadados foram convertidos em 1.847 ETH e posteriormente divididos entre três carteiras. A maior parcela, de 1.865 ETH, foi tracaté outra carteira supostamente operada pelo grupo. Em vez de reter os ETH convertidos, Lazarus distribuiu 2.507 ETH entre vários endereços.

Hackers ligados à Coreia do Norte também estiveram envolvidos no infame ataque de US$ 1,5 bilhão à corretora de criptomoedas Bybit. Após a invasão, o grupo teria lavado quase 500.000 ETH, o equivalente a cerca de US$ 1,39 bilhão, em diversas transações realizadas em apenas dez dias. 

O valor de Bybit é de 49,9 por ETH (US$ 13,9) por 10 por cento

ETH aumentou 23% (cerca de US$ 2.780 por US$ 2.130)

Comprar THORChain Comprar $ 59 Comprar THORChain $ 550万的手续费收入。

本文由 #Bitget｜@Bitget_zh 赞助 https://t.co/osoKNzFhkG pic.twitter.com/QUWuMmV6zH

- 余烬 (@EmberCN) 4 de março de 2025

Pelo menos US$ 605 milhões foram movimentados através do protocolo de liquidez descentralizado THORChain em um único dia. No entanto, a plataforma de inteligência blockchain Arkham Intelligence estima que as carteiras vinculadas à Lazarus ainda detêm aproximadamente US$ 1,1 bilhão em reservas de criptomoedas, incluindo participações significativas em Bitcoin, Ethereume Tether.

Crimes cibernéticos financiam ambições nucleares

Investigadores das Nações Unidas que monitoram o cumprimento acreditam que os lucros obtidos com esses ciberataques estão sendo canalizados para os programas de desenvolvimento de armas da Coreia do Norte. Entre 2017 e 2023, o país teria usado fluxos de receita baseados em criptomoedas para aprimorar sua tecnologia de mísseis, aumentando sua capacidade de atingir alvos muito além da península coreana.

Em um relatório publicado em dezembro passado, a Chainalysis confirmou que hackers ligados ao regime roubaram mais de US$ 1,3 bilhão em criptomoedas em 2024, em 47dent.

“Hackers ligados à Coreia do Norte tornaram-se notórios por suas técnicas sofisticadas e implacáveis”, afirmou a análise da Chainalysis, observando que esses esforços são usados ​​para burlar as sanções internacionais e financiar as operações ilícitas do Estado.