O Avanço Sombrio: Coreia do Norte e o Roubo Bilionário de Criptomoedas em 2025
Data: 19 de dezembro de 2025
O ano de 2025 se aproxima do fim, mas não sem deixar uma marca preocupante no universo das criptomoedas. Dados recentes, divulgados por um relatório da Chainalysis nesta quinta-feira (18), revelam um cenário alarmante de cibersegurança, onde a Coreia do Norte emerge como o principal ator por trás de roubos bilionários. A nação isolada, sob a liderança de Kim Jong-un, teria subtraído impressionantes US$ 2,02 bilhões (equivalente a cerca de R$ 11 bilhões na cotação atual) em ativos digitais apenas neste ano. Esse montante representa um aumento de 51% em relação ao ano anterior, consolidando uma tendência preocupante para o mercado financeiro descentralizado.
O panorama geral do setor de criptoativos em 2025 foi marcado por perdas significativas, totalizando US$ 3,4 bilhões em roubos. O mais chocante é que os ataques orquestrados pela Coreia do Norte respondem por 59% desse valor global, evidenciando a capacidade e a persistência do regime em explorar vulnerabilidades digitais para financiar suas prioridades estatais e contornar sanções internacionais. Para investidores e entusiastas do Bitcoin hoje e de outras criptomoedas, esses números acendem um alerta sobre a crescente sofisticação das ameaças e a necessidade urgente de aprimorar a segurança no ecossistema blockchain.
O Cenário Alarmante de 2025 no Mercado Cripto
O mercado de criptomoedas, conhecido por sua volatilidade e inovação financeira, também se tornou um campo fértil para a atuação de grupos cibercriminosos, especialmente aqueles patrocinados por estados-nação. O relatório da Chainalysis detalha como 2025 se tornou um ano recorde para a Coreia do Norte em termos de valor roubado, não por um aumento na frequência dos ataques, mas por uma mudança estratégica em seu modus operandi.
A evolução da tática norte-coreana, conforme apontado pela Chainalysis, sugere uma transição de múltiplos ataques de menor porte para investidas mais cirúrgicas e de alto valor. Essa abordagem "sniper" tem permitido que os hackers de Pyongyang causem danos significativamente maiores a cada operação bem-sucedida, maximizando o retorno sobre o esforço e minimizando a exposição. A implicação é clara: a indústria cripto precisa reavaliar suas defesas e focar na proteção de ativos de grande volume, que se tornaram os alvos preferenciais desses agentes maliciosos.
A Metamorfose Tática de Pyongyang: Menos Ataques, Maiores Prejuízos
A análise dos dados de 2025 revela que a Coreia do Norte não está simplesmente aumentando o número de seus ataques, mas sim aprimorando a eficácia de cada um deles. Essa mudança de estratégia é um indicativo da sofisticação crescente de suas operações cibernéticas, que agora visam alvos de maior valor com maior precisão.
A Estratégia "Sniper" da Coreia do Norte
A transição de uma estratégia de "volume" para uma de "impacto" é um dos pontos mais críticos do relatório. Em vez de realizar inúmeros ataques menores que poderiam ser mais facilmente detectados e mitigados, os hackers norte-coreanos concentram seus recursos em poucas, mas extremamente lucrativas, investidas. Essa abordagem não apenas maximiza os ganhos, mas também torna mais difícil para as empresas de segurança e autoridades rastrearem e preverem suas ações.
Um exemplo emblemático dessa evolução foi o ataque à corretora Bybit, ocorrido em fevereiro de 2025. O incidente resultou em um prejuízo colossal de US$ 1,4 bilhão, sendo posteriormente atribuído à Coreia do Norte pelo FBI. Este evento não é apenas um caso isolado, mas um marco que ilustra a capacidade dos hackers de Pyongyang de penetrar sistemas robustos e orquestrar roubos de proporções inéditas. Para o mercado cripto, a lição é clara: a vigilância deve ser redobrada, especialmente em relação a plataformas e protocolos que gerenciam grandes volumes de ativos. A segurança deve ser vista não como um custo, mas como um investimento essencial na proteção da integridade e da confiança do ecossistema.
Desvendando o Modus Operandi da Lavagem de Dinheiro Norte-Coreana
A Chainalysis, especialista em análise de blockchain, não apenas quantificou os roubos, mas também aprofundou-se na identificação dos padrões comportamentais dos hackers norte-coreanos. Essa inteligência é crucial para as autoridades e para o próprio setor de criptomoedas na luta contra a lavagem de dinheiro e o financiamento de atividades ilícitas.
O Padrão de 45 Dias e as Pistas na Blockchain
A pesquisa da Chainalysis identificou um padrão distinto de lavagem de dinheiro, um modus operandi de três etapas que geralmente se desenrola ao longo de 45 dias. Este padrão oferece pistas valiosas para investigadores, permitindo-lhes diferenciar as atividades criminosas da Coreia do Norte de outros grupos e rastrear seu rastro na blockchain.
Entre os indicadores-chave desse padrão estão: 1. **Uso de serviços em chinês:** Uma preferência consistente por plataformas e serviços que operam na língua chinesa, possivelmente para dificultar o rastreamento por agências ocidentais. 2. **Forte dependência de transferências entre blockchains (cross-chain):** Os hackers utilizam pontes (bridges) para mover ativos entre diferentes redes blockchain. Essa técnica, embora legítima para a inovação financeira e a interoperabilidade, é explorada para ofuscar a origem e o destino dos fundos, tornando o rastreamento mais complexo. Por exemplo, roubam Bitcoin e o transferem para uma rede como Ethereum ou Solana, misturando-o com outros ativos. 3. **Maior uso de mixers de criptomoedas:** Mixers, ou "serviços de mistura", são ferramentas que agrupam grandes quantidades de criptomoedas de diferentes usuários e as redistribuem de forma aleatória, dificultando a associação de transações a uma origem específica. Embora possam ter usos legítimos para privacidade, são frequentemente empregados por criminosos para lavar fundos.
Esse padrão, que persiste há alguns anos, demonstra a engenhosidade dos hackers norte-coreanos em explorar as características descentralizadas e pseudônimas da blockchain para seus próprios fins. A detecção desses "rastros comportamentais" é vital para as agências de aplicação da lei e para o desenvolvimento de ferramentas de regulação cripto mais eficazes.
As Táticas de Infiltração e Engenharia Social Aprimoradas
Além de explorar vulnerabilidades técnicas, os hackers norte-coreanos têm aprimorado suas táticas de engenharia social e infiltração, mirando no elo mais fraco de qualquer sistema de segurança: o fator humano.
O "Cavalo de Troia" Corporativo: Infiltração em Empresas Cripto
Uma das estratégias mais insidiosas reveladas em 2025 é a tentativa de infiltrar empresas de criptomoedas buscando posições de emprego. Em agosto deste ano, a Binance, uma das maiores corretoras do mundo, alertou o mercado sobre hackers norte-coreanos que tentavam ser contratados pela empresa. Jimmy Su, diretor de segurança da Binance, explicou que esses atacantes utilizam tecnologias avançadas, como vídeos ao vivo gerados por Inteligência Artificial (IA) e modificadores de voz, para simular identidades falsas em chamadas de entrevista e enganar os processos seletivos. O objetivo é obter acesso privilegiado a sistemas e informações sensíveis, facilitando futuros roubos.
Em resposta a essa ameaça, a Binance e outras corretoras têm intensificado a colaboração, compartilhando informações sobre sinais comuns de ataques norte-coreanos por meio de canais seguros como Telegram e Signal. Essa cooperação é fundamental para fortalecer a segurança cibernética do setor como um todo.
Ataques à Cadeia de Suprimentos de Software
Outra tática preocupante observada é o envenenamento de pacotes NPM. NPM (Node Package Manager) é um gerenciador de pacotes amplamente utilizado por desenvolvedores de software para compartilhar e reutilizar código. Hackers norte-coreanos foram flagrados inserindo códigos maliciosos em bibliotecas de código público, que são então incorporadas em projetos legítimos de blockchain e aplicações descentralizadas (dApps). Ao fazer isso, eles conseguem se infiltrar na cadeia de suprimentos de software, obtendo acesso a sistemas e dados de usuários de forma discreta e em larga escala. Essa abordagem representa uma ameaça significativa à integridade da infraestrutura que sustenta a inovação financeira no espaço cripto.
O Propósito por Trás dos Roubos: Financiamento Estatal e Evasão de Sanções
É crucial entender que os roubos de criptomoedas pela Coreia do Norte não são atos isolados de cibercriminosos comuns. Eles fazem parte de uma estratégia estatal deliberada para financiar programas de armas, como mísseis e armas nucleares, e para contornar o rigoroso regime de sanções internacionais imposto ao país. As criptomoedas oferecem um meio de transferência de valor que é mais difícil de rastrear e controlar pelos sistemas financeiros tradicionais, tornando-as uma ferramenta atraente para nações sob sanções.
A Chainalysis enfatiza que "enquanto a Coreia do Norte continua a usar o roubo de criptomoedas para financiar prioridades estatais e contornar sanções internacionais, o setor precisa reconhecer que esse agente malicioso opera com regras diferentes das que regem os cibercriminosos típicos". Isso significa que as
