Novo relatório revela o alcance alarmante dos hackers de cripto da Coreia do Norte

De acordo com um relatório divulgado pela Multilateral Sanctions Monitoring Team (MSMT), hackers ligados à Coreia do Norte roubaram impressionantes US$ 2,83 bilhões em ativos virtuais entre 2024 e setembro de 2025.

O relatório enfatiza que Pyongyang não apenas se destaca em furtos, mas também possui métodos sofisticados para liquidar os ganhos ilícitos.

Receita de Hackeamento Alimenta Um Terço da Moeda Estrangeira do País

A MSMT é uma coalizão multinacional de 11 países, incluindo os EUA, Coreia do Sul e Japão. Ela foi estabelecida em outubro de 2024 para apoiar a implementação das sanções do Conselho de Segurança da ONU contra a Coreia do Norte.

De acordo com a MSMT, os US$ 2,83 bilhões roubados de 2024 a setembro de 2025 representam um valor crítico.

“Os rendimentos provenientes de furtos de ativos virtuais pela Coreia do Norte em 2024 corresponderam a aproximadamente um terço da receita total em moeda estrangeira do país”, observou a equipe.

A escala dos furtos acelerou dramaticamente, com US$ 1,64 bilhão roubados apenas em 2025, representando um aumento de mais de 50% em relação aos US$ 1,19 bilhão levados em 2024, apesar de o valor de 2025 não incluir o último trimestre.

O Hack da Bybit e o Sindicato TraderTraitor

A MSMT identificou o hack global da exchange Bybit, ocorrido em fevereiro de 2025, como um dos principais responsáveis pelo aumento da receita ilícita em 2025. O ataque foi atribuído ao TraderTraitor, uma das organizações de hackers mais sofisticadas da Coreia do Norte.

A investigação revelou que o grupo coletou informações relacionadas à SafeWallet, a fornecedora de carteira multi-assinatura utilizada pela Bybit. Em seguida, eles obtiveram acesso não autorizado por meio de e-mails de phishing.

Eles utilizaram código malicioso para acessar a rede interna, disfarçando transferências externas como movimentações internas de ativos. Isso permitiu que eles assumissem o controle do contrato inteligente da cold wallet.

A MSMT observou que, nos principais hacks dos últimos dois anos, a Coreia do Norte frequentemente prefere atacar prestadores de serviços terceirizados conectados às exchanges, em vez de atacar as próprias exchanges.

O Mecanismo de Lavagem em Nove Etapas

A MSMT detalhou um meticuloso processo de lavagem em nove etapas que a Coreia do Norte utiliza para converter os ativos virtuais roubados em moeda fiduciária:

1. Os atacantes trocam os ativos roubados por criptomoedas como ETH em uma Decentralized Exchange (DEX).

2. Eles “misturam” os fundos usando serviços como Tornado Cash, Wasabi Wallet ou Railgun.

3. Convertem ETH em BTC por meio de serviços de bridge.

4. Movem os fundos para uma cold wallet após passarem por contas de exchanges centralizadas.

5. Dispersam os ativos para diferentes carteiras após uma segunda rodada de mistura.

6. Trocando BTC por TRX (Tron) usando bridges e negociações P2P.

7. Convertem TRX para a stablecoin USDT.

8. Transferem o USDT para um broker Over-the-Counter (OTC).

9. O broker OTC liquida os ativos em moeda fiduciária local.

Rede Global Facilita a Conversão em Dinheiro

A etapa mais desafiadora é converter cripto em moeda fiduciária utilizável. Isso é realizado por meio de brokers OTC e empresas financeiras em países terceiros, incluindo China, Rússia e Camboja.

O relatório nomeou indivíduos específicos. Entre eles estão os cidadãos chineses Ye Dinrong e Tan Yongzhi, da Shenzhen Chain Element Network Technology, e o trader P2P Wang Yicong.

Eles supostamente cooperaram com entidades norte-coreanas para fornecer identidades fraudulentas e facilitar a lavagem de ativos. Intermediários russos também foram implicados na liquidação de aproximadamente US$ 60 milhões provenientes do hack da Bybit.

Além disso, a Huione Pay, uma provedora de serviços financeiros do Huione Group do Camboja, foi utilizada para lavagem de dinheiro.

“Um cidadão norte-coreano manteve um relacionamento pessoal com associados da Huione Pay e cooperou com eles para converter ativos virtuais em dinheiro no final de 2023”, afirmou a MSMT.

A MSMT levantou preocupações junto ao governo cambojano em outubro e dezembro de 2024. Essas preocupações diziam respeito às atividades da Huione Pay em apoio a hackers cibernéticos norte-coreanos designados pela ONU. Como resultado, o Banco Nacional do Camboja recusou-se a renovar a licença de pagamento da Huione Pay; no entanto, a empresa continua operando no país.