Novo relatório revela o alcance alarmante dos hackers de criptomoedas da Coreia do Norte

De acordo com um relatório divulgado pela Multilateral Sanctions Monitoring Team (MSMT), hackers ligados à Coreia do Norte roubaram impressionantes 2,83 bilhões de dólares em ativos virtuais entre 2024 e setembro de 2025.

O relatório enfatiza que Pyongyang não apenas se destaca em furtos, mas também possui métodos sofisticados para liquidar os ganhos ilícitos.

Receita de hacking financia um terço da moeda estrangeira do país

A MSMT é uma coalizão multinacional de 11 países, incluindo os EUA, Coreia do Sul e Japão. Foi estabelecida em outubro de 2024 para apoiar a implementação das sanções do Conselho de Segurança da ONU contra a Coreia do Norte.

De acordo com a MSMT, os 2,83 bilhões de dólares roubados de 2024 até setembro de 2025 representam um número crítico.

“Os rendimentos do roubo de ativos virtuais pela Coreia do Norte em 2024 corresponderam a aproximadamente um terço da receita total de moeda estrangeira do país”, observou a equipe.

A escala dos furtos acelerou dramaticamente, com 1,64 bilhão de dólares roubados apenas em 2025, representando um aumento de mais de 50% em relação aos 1,19 bilhão de dólares levados em 2024, apesar de o número de 2025 não incluir o último trimestre.

O hack da Bybit e o sindicato TraderTraitor

A MSMT identificou o ataque hacker de fevereiro de 2025 à exchange global Bybit como um dos principais responsáveis pelo aumento da receita ilícita em 2025. O ataque foi atribuído ao TraderTraitor, uma das organizações de hacking mais sofisticadas da Coreia do Norte.

A investigação revelou que o grupo coletou informações relacionadas à SafeWallet, o provedor de carteira multiassinatura utilizado pela Bybit. Em seguida, obtiveram acesso não autorizado por meio de e-mails de phishing.

Eles utilizaram código malicioso para acessar a rede interna, disfarçando transferências externas como movimentações internas de ativos. Isso lhes permitiu assumir o controle do contrato inteligente da cold wallet.

A MSMT observou que, nos principais ataques dos últimos dois anos, a Coreia do Norte frequentemente prefere atacar provedores de serviços terceirizados conectados às exchanges, em vez de atacar as próprias exchanges.

O mecanismo de lavagem em nove etapas

A MSMT detalhou um meticuloso processo de lavagem em nove etapas que a Coreia do Norte utiliza para converter os ativos virtuais roubados em moeda fiduciária:

1. Os atacantes trocam os ativos roubados por criptomoedas como ETH em uma Decentralized Exchange (DEX).

2. Eles “misturam” os fundos usando serviços como Tornado Cash, Wasabi Wallet ou Railgun.

3. Convertem ETH em BTC por meio de serviços de bridge.

4. Movem os fundos para uma cold wallet após passarem por contas de exchanges centralizadas.

5. Dispersam os ativos para diferentes carteiras após uma segunda rodada de mistura.

6. Trocando BTC por TRX (Tron) usando bridge e negociações P2P.

7. Convertem TRX para a stablecoin USDT.

8. Transferem o USDT para um broker Over-the-Counter (OTC).

9. O broker OTC liquida os ativos em moeda fiduciária local.

Rede global facilita o saque

A etapa mais desafiadora é converter cripto em moeda fiduciária utilizável. Isso é realizado usando brokers OTC e empresas financeiras em países terceiros, incluindo China, Rússia e Camboja.

O relatório nomeou indivíduos específicos. Entre eles, os cidadãos chineses Ye Dinrong e Tan Yongzhi da Shenzhen Chain Element Network Technology e o trader P2P Wang Yicong.

Supostamente, eles cooperaram com entidades norte-coreanas para fornecer identidades fraudulentas e facilitar a lavagem de ativos. Intermediários russos também foram implicados na liquidação de aproximadamente 60 milhões de dólares provenientes do hack da Bybit.

Além disso, a Huione Pay, um provedor de serviços financeiros do Huione Group do Camboja, foi utilizada para lavagem de dinheiro.

“Um cidadão norte-coreano manteve uma relação pessoal com associados da Huione Pay e cooperou com eles para sacar ativos virtuais no final de 2023”, afirmou a MSMT.

A MSMT levantou preocupações junto ao governo cambojano em outubro e dezembro de 2024. Essas preocupações diziam respeito às atividades da Huione Pay em apoio a hackers cibernéticos norte-coreanos designados pela ONU. Como resultado, o Banco Nacional do Camboja recusou-se a renovar a licença de pagamento da Huione Pay; no entanto, a empresa continua operando no país.