O Grupo Lazarus tem financiado todo o programa nuclear da Coreia do Norte com criptomoedas roubadas

As armas nucleares da Coreia do Norte não são financiadas por carvão ou impostos. Elas são alimentadas por criptomoedas roubadas. Em 18 de julho de 2024, o principal grupo de hackers do governo norte-coreano, o Lazarus Group, invadiu a WazirX, a maior corretora de criptomoedas da Índia.

Em pouco mais de uma hora, eles desapareceram com mais de 200 milhões de dólares, agindo mais rápido do que qualquer reação humana poderia acompanhar. Operaram como uma operação militar. O roubo da WazirX é uma das muitas operações diretamente ligadas a Lazarus.

Com mais de 6 bilhões de dólares roubados nos últimos dez anos, o grupo se tornou o ladrão de criptomoedas mais perigoso do mundo e, de acordo com uma reportagem do Wall Street Journal, seu trabalho ajuda a manter o regime de Kim Jong-un no poder e financia um programa nuclear que continua avançando apesar das pesadas sanções internacionais.

Lázaro é formado pelas pessoas mais brilhantes da Coreia do Norte

Benedict Hamilton, diretor administrativo da Kroll, empresa que auxilia a WazirX tracdo roubo, afirmou que a rapidez e a automação da equipe sugerem que os fundos provavelmente já foram convertidos em cash.

Com quase metade de seus ativos perdidos, a corretora teve que fechar. Um porta-voz da WazirX teria dito que estão tentando recuperar os fundos dos usuários e relançar a plataforma o mais rápido possível.

As mentes mais brilhantes de Pyongyang são alocadas no sistema Lazarus, e elas não têm pressa. Passam meses — ou anos — buscando alvos, criando perfis falsos e procurando por uma única brecha.

Para invadir os sistemas das empresas, eles vasculham as páginas do Instagram, LinkedIn e Facebook dos funcionários e, em seguida, criam golpes personalizados para enganá-los e fazê-los clicar em links infectados.

Alguns membros da Lazarus chegam a se candidatar a vagas remotas em empresas de tecnologia americanas comdentfalsas, passando por entrevistas e infiltrando-se nos sistemas para obter acesso. Essas operações são financiadas por estados e conduzidas como campanhas militares.

O roubo de criptomoedas é o único negócio viável na Coreia do Norte

Em fevereiro, é claro, a Lazarus realizou seu maior roubo até o momento: US$ 1,5 bilhão da Bybit, uma das maiores corretoras de criptomoedas do mundo. Só em 2024, a Coreia do Norte foi responsável por mais de US$ 6 a cada US$ 10 roubados em todo o setor de criptomoedas, segundo tracda Chainalysis.

Para isso, o país construiu um verdadeiro exército cibernético. Segundo o jornal, são mais de 8.000 hackers em tempo integral, organizados em grupos de estilo militar e apoiados por dezenas de departamentos menores.

Segundo relatos, crianças que demonstram talento para matemática ou ciências são recrutadas e treinadas desde cedo. Elas não têm empregos paralelos. Trabalham em tempo integral como hackers.

A maioria deles vive melhor do que outros cidadãos. Mas também estão sob pressão constante. Elma Duval, coautora de um relatório do grupo de defesa PScore, com sede em Seul, entrevistou ex-trabalhadores de TI que disseram que os hackers são punidos fisicamente se falharem.

Kim Jong Il, o falecido ditador, disse certa vez que as guerras futuras seriam travadas com computadores, e sob o regime de seu filho, essa visão se transformou em uma estratégia nacional.

Com as fontes tradicionais de renda, como a venda de armas, o contrabando de carvão e a mão de obra estrangeira, sendo sufocadas pelas sanções internacionais, a Coreia do Norte teve que encontrar uma nova fonte de receita. Sua agência de espionagem estima que o país precise de cerca de US$ 6 bilhões por ano, incluindo centenas de milhões para seu programa de armas nucleares.

O roubo de criptomoedas é rápido, barato e difícil de trac. Pyongyang nunca assumiu publicamente a autoria de nenhum desses ataques. Mas autoridades americanas afirmaram que o grupo Lazarus continua deixando para trás malwaresdent, juntamente com carteiras reutilizadas de ataques anteriores.

Mesmo que tentem desaparecer, suas impressões digitais estão sempre presentes. Este é o mesmo grupo que as agências americanas responsabilizaram pelo ataque cibernético à Sony em 2014, pelo roubo ao banco central de Bangladesh em 2016 e pelo ataque de ransomware WannaCry em 2017.

A Lazarus agora está mirando em ETFs de criptomoedas e candidatos a emprego

Em setembro, o FBI alertou que o grupo Lazarus estava investigando empresas ligadas a fundos negociados em bolsa (ETFs) de criptomoedas. Esse segmento do mercado movimentou US$ 37 bilhões somente no ano passado, com investidores comprando fundos da BlackRock, Fidelity e outras corretoras. Os hackers utilizavam e-mails infectados com malware, personalizados para cada vítima.

Em dezembro, um tribunal dos EUA indiciou 14 norte-coreanos por roubo dedentamericanas e por conseguirem empregos em empresas de tecnologia e organizações sem fins lucrativos dos EUA. Esses membros da organização Lazarus se autodenominavam "guerreiros da TI" e conseguiram acumular US$ 88 milhões em salários, que foram enviados diretamente para a Coreia do Norte. Os empregos lhes davam acesso direto aos sistemas e dados das empresas.

Diversas empresas de criptomoedas confirmaram ter sido vítimas de candidaturas falsas. Ben Turner, chefe de engenharia da Cloudburst Technologies, uma empresa de inteligência em criptomoedas, afirmou: "A impressão que temos é que hackers norte-coreanos estão cada vez mais presentes". Sua equipe relatou um aumento considerável em candidaturas suspeitas.