Hackers apoiados pelo Estado norte-coreano bateram recordes em 2024, roubando o equivalente a US$ 1,34 bilhão em criptomoedas em apenas 47 ataques. Isso representa mais que o dobro dos US$ 660,5 milhões roubados em 20 incidentes dent relatório da Chainalysis .
Esses ladrões digitais agora são responsáveis por 61% de todas as criptomoedas roubadas globalmente este ano, consolidando a posição de Pyongyang como o principal ator no crime cibernético. Autoridades americanas e internacionais alertam que esses fundos roubados financiam os programas de mísseis e armas da Coreia do Norte, burlando sanções e colocando em risco a segurança global.
O intervalo entre ataques cibernéticos bemmaticsucedidos diminuiu drasticamente, especialmente para golpes de alto valor, de US$ 50 milhões ou mais. Os agentes cibernéticos de Pyongyang mudaram sua estratégia, concentrando-se mais em roubos de grande escala, embora mantenham um fluxo constante de operações menores, em torno de US$ 10.000.
Utilizando o roubo de criptomoedas como arma com infiltração interna
As táticas empregadas por esses hackers são uma verdadeira aula de dissimulação. Cada vez mais, trabalhadores de TI norte-coreanos estão se infiltrando em empresas legítimas, explorando oportunidades de trabalho remoto para invadir redes. Eles se fazem passar por profissionais altamente qualificados, usandodentfalsas e intermediários obscuros para conseguir empregos.
Uma vez dentro das empresas, eles saqueiam informações confidenciais e até roubam diretamente das contas bancárias. O Departamento de Justiça dos EUA indiciou recentemente 14 norte-coreanos que aplicaram exatamente esse esquema, roubando US$ 88 milhões enquanto se faziam passar por funcionários de empresas americanas.
O panorama geral é ainda mais sombrio. Os cibercriminosos de Pyongyang estão visando não apenas empresas, mas a própria infraestrutura do mundo das criptomoedas. Em um dos ataques mais audaciosos do ano, eles atacaram a corretora japonesa DMM Bitcoin, roubando 4.502,9 Bitcoin— o equivalente a US$ 305 milhões na época.
Ao explorar as fragilidades na infraestrutura da corretora, eles canalizaram os ativos roubados por meio de mixers e pontes entre blockchains, tornando-os praticamente impossíveis de trac. As consequências forçaram o fechamento da DMM Bitcoin , que transferiu suas operações para outra corretora pertencente a um grande conglomerado financeiro.
Esse tipo de ataque não é raro. Os hackers norte-coreanos usam malware avançado, esquemas de phishing e engenharia social para obter acesso a sistemas.
Eles aperfeiçoaram literalmente a arte de movimentar fundos roubados por meio de complexas cadeias de lavagem de dinheiro, frequentemente usando serviços de mistura de moedas como o CoinJoin e mercados online obscuros para ocultar o rastro do dinheiro.
Uma mudança de estratégia após julho
O primeiro semestre de 2024 viu os hackers de Pyongyang operando a todo vapor, mas sua atividade caiu drasticamente após uma cúpula de alto nível no final de junho. Odent da Rússia, Vladimir Putin, e o líder supremo da Coreia do Norte, Kim Jong Un, se encontraram em Pyongyang para assinar um pacto de defesa mútua.
O relatório afirma que, logo em seguida, houve uma queda acentuada no valor roubado por hackers norte-coreanos — uma redução de 53,73% no segundo semestre do ano em comparação com o primeiro. Enquanto isso, os ataques cibernéticos não norte-coreanos registraram um leve aumento.
Os analistas mostram-se cautelosos em estabelecer uma ligação direta entre a cúpula e a desaceleração dos ataques, mas é preciso reconhecer que a coincidência de datas é difícil de ignorar. A Rússia liberou milhões de dólares em ativos norte-coreanos congelados por volta do mesmo período, o que pode ter fornecido a Pyongyang fontes alternativas de financiamento.
Por outro lado, a Coreia do Norte enviou tropas para a Ucrânia e, segundo relatos, buscou tecnologia militar avançada em Moscou, de modo que seus recursos podem ter sido redirecionados para o conflito.
