O Manual do Lazarus Group: Por Dentro da Operação de Roubo de Cripto de US$ 6,75 Bilhões da Coreia do Norte

Quando o desenvolvedor da Safe{Wallet} "Developer1" recebeu o que parecia ser uma solicitação rotineira em 4 de fevereiro de 2025, ele não tinha ideia de que seu Apple MacBook se tornaria o ponto de entrada para o maior assalto de criptomoedas da história. Em dezessete dias, o Grupo Lazarus da Coreia do Norte exploraria esse único laptop comprometido para roubar US$ 1,5 bilhão da Bybit — mais do que o PIB total de algumas nações.

Isso não foi uma aberração. Foi o ponto culminante de uma evolução de uma década que transformou um grupo de hackers patrocinados pelo Estado nos ladrões de criptomoedas mais sofisticados do mundo, responsáveis por pelo menos US$ 6,75 bilhões em roubos acumulados.

Os Números que Devem Manter Todas as Exchanges Acordadas

A escala do roubo de cripto pela Coreia do Norte atingiu níveis sem precedentes. De acordo com o Relatório de Criptocrimes da Chainalysis, atores vinculados à RPDC roubaram US$ 2,02 bilhões em criptomoedas apenas em 2025 — um aumento de 51 % em relação ao ano anterior e um valor que representa quase 60 % de todos os roubos de cripto globais.

Mas a estatística mais alarmante não é o valor total. É a eficiência. Embora o número geral de incidentes de hacking norte-coreanos tenha caído 74 % em comparação com 2024, o valor roubado por ataque disparou. O Grupo Lazarus agora responde por 76 % de todos os comprometimentos de nível de serviço na indústria de criptomoedas, acima dos anos anteriores, quando sua participação era substancialmente menor.

Essa mudança representa o que a TRM Labs chama de "industrialização do roubo de criptomoedas" — menos ataques, recompensas maiores e uma infraestrutura de lavagem de dinheiro capaz de processar centenas de milhões de dólares em 48 horas.

Anatomia do Ataque à Bybit: Uma Aula de Engenharia Social

O assalto à Bybit em fevereiro de 2025 revelou o quanto os hackers norte-coreanos evoluíram além dos métodos tradicionais de força bruta. O FBI atribuiu o ataque ao "TraderTraitor", uma campanha cibernética maliciosa que se tornou sinônimo de roubo de cripto patrocinado pelo Estado.

A cadeia de ataque começou não com a exploração de código, mas com a manipulação humana.

Estágio 1: O Comprometimento

De acordo com a análise post-mortem da Safe{Wallet}, os invasores primeiro identificaram um desenvolvedor com acesso elevado ao sistema. Por meio do que parece ter sido uma campanha de phishing direcionada — provavelmente envolvendo falsas ofertas de emprego ou oportunidades de investimento — eles convenceram o desenvolvedor a baixar um software malicioso. Uma vez instalado, o malware deu à Coreia do Norte controle total sobre a máquina MacOS do administrador.

Estágio 2: A Infiltração Silenciosa

Em vez de roubar fundos imediatamente, os invasores passaram semanas estudando os padrões de transação da Bybit. Eles sequestraram tokens de sessão da AWS, ignorando completamente a autenticação de múltiplos fatores. Eles modificaram o código do site da Safe{Wallet} com um payload dormente projetado para ser ativado apenas quando acionado por transações específicas da Bybit.

Estágio 3: A Extração

Quando um funcionário da Bybit abriu a Safe{Wallet} para autorizar uma transação rotineira no final de fevereiro, o código dormente foi ativado. Ele manipulou o processo de aprovação da transação, redirecionando aproximadamente 400.000 ETH — no valor de US$ 1,5 bilhão na época — para carteiras controladas pelos invasores.

Todo o roubo ocorreu em tempo real, sob o nariz da equipe de segurança da Bybit.

A Máquina de Lavagem de 48 Horas

O que distingue as operações de cripto da Coreia do Norte de outras empresas cibercriminosas é a velocidade e a sofisticação de sua infraestrutura de lavagem de dinheiro. A TRM Labs relatou que, em 48 horas após o ataque à Bybit, pelo menos US$160 milhões já haviam sido processados por canais ilícitos — com algumas estimativas sugerindo que o valor ultrapassou US$ 200 milhões ao final do segundo dia.

Essa lavagem rápida segue o que a Chainalysis descreve como um processo de "múltiplas ondas" abrangendo aproximadamente 45 dias:

Dias 0-5: Camadas Imediatas

Os fundos roubados são imediatamente divididos em centenas de carteiras intermediárias. Os invasores usam pontes cross-chain como THORChain e LI.FI para fazer "chain hop" entre blockchains, convertendo Ethereum para Bitcoin e, em seguida, para stablecoins como DAI. Essa fragmentação jurisdicional e técnica torna o rastreamento abrangente extremamente difícil.

Dias 6-10: Integração Inicial

Os ativos mistos são convertidos em USDT baseado em Tron, que oferece transações mais rápidas e taxas mais baixas para lavagem de alto volume. Os fundos são distribuídos em milhares de novos endereços, cada um contendo quantias pequenas o suficiente para evitar o acionamento dos limites de monitoramento das exchanges.

Dias 20-45: Integração Final

O USDT lavado chega a redes de corretores over-the-counter (OTC), predominantemente baseados na China e no Sudeste Asiático. Esses corretores aceitam a criptomoeda e depositam a moeda fiduciária equivalente em contas bancárias controladas pela RPDC por meio de cartões UnionPay chineses.

Em 20 de março de 2025 — menos de um mês após o ataque à Bybit — o CEO Ben Zhou confirmou que os invasores haviam convertido 86,29 % do ETH roubado para Bitcoin, demonstrando a eficiência desse processo de lavagem industrializado.

A Evolução da Sony para Assaltos de Bilhões de Dólares

Entender o Grupo Lazarus requer rastrear sua evolução de hackativistas políticos para os principais ladrões de criptomoedas do mundo.

2014: O Ataque à Sony Pictures

O grupo ganhou notoriedade internacional pela primeira vez ao destruir a infraestrutura da Sony Pictures em retaliação ao filme "A Entrevista", que retratava o assassinato de Kim Jong-un. Eles implantaram um malware wiper que apagou dados em toda a rede da empresa, enquanto vazavam publicamente comunicações internas constrangedoras.

2016: O Assalto ao SWIFT

O Lazarus demonstrou ambições financeiras ao [tentar roubar quase $1 bilhão](https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks) do Banco de Bangladesh através do sistema bancário internacional SWIFT. Um erro de digitação impediu o roubo total, mas eles ainda escaparam com$ 81 milhões — um valor que mais tarde pareceria modesto.

2017-2019: O Pivô para DeFi

Conforme as criptomoedas explodiram em valor, o Lazarus mudou seu foco para as exchanges. Ataques iniciais à Bithumb ($ 7 milhões), Youbit e outras plataformas estabeleceram sua reputação no espaço cripto. Esses ataques normalmente utilizavam e-mails de spear-phishing contendo malware disfarçado de ofertas de emprego ou atualizações de segurança.

2022: O Ataque de $ 620 Milhões à Ronin Network

O hack à Ronin Network marcou um ponto de virada. Os invasores comprometeram a Sky Mavis (desenvolvedores do Axie Infinity) através de uma oferta de emprego falsa no LinkedIn enviada a um engenheiro sênior. Uma vez lá dentro, eles se moveram lateralmente até ganharem controle de chaves de validador suficientes para drenar $ 620 milhões em ETH e USDC da rede.

2023: A Centralização dos Alvos

O Lazarus mudou o foco de protocolos descentralizados para provedores de serviços centralizados. Em um período de três meses, eles atingiram a Atomic Wallet ($100 milhões), CoinsPaid ($ 37,3 milhões), Alphapo ($60 milhões), Stake.com ($ 41 milhões) e CoinEx ($ 54 milhões). O FBI confirmou a atribuição norte-coreana para cada ataque.

2024-2025: Roubo Industrializado

O hack à WazirX ($234,9 milhões) e o assalto à Bybit ($ 1,5 bilhão) representam a evolução atual: menos ataques, impacto máximo e uma infraestrutura de lavagem de dinheiro capaz de processar bilhões.

O Fator Humano: Trabalhadores de TI como Cavalos de Troia

Além do hacking direto, a Coreia do Norte implantou o que os pesquisadores chamam de estratégia "Wagemole" — infiltrando trabalhadores de TI disfarçados em empresas legítimas em todo o mundo.

Esses agentes obtêm cargos técnicos remotos usando identidades fraudulentas ou através de empresas de fachada. Uma vez contratados, eles funcionam como funcionários legítimos enquanto fornecem inteligência para as equipes de hacking. Em alguns casos, eles facilitam diretamente o roubo ao fornecer credenciais, desativar sistemas de segurança ou aprovar transações fraudulentas.

De acordo com a Chainalysis, mais de uma dúzia de empresas de criptomoedas foram infiltradas por agentes norte-coreanos se passando por trabalhadores de TI apenas em 2024. A violação da DeFiance Capital teria ocorrido após agentes do Lazarus se infiltrarem na empresa se passando por desenvolvedores de contratos inteligentes.

Esta estratégia representa um desafio fundamental para a indústria: a segurança de perímetro tradicional torna-se irrelevante quando os invasores já possuem credenciais de acesso legítimas.

A Campanha "ClickFake": Ofertas de Emprego Armamentistas

A campanha DEV#POPPER, lançada em 2023 e ainda ativa, demonstra a crescente sofisticação de engenharia social do Lazarus.

O ataque começa em plataformas profissionais como GitHub ou LinkedIn. Os invasores se passam por recrutadores ou colegas, envolvendo os alvos em discussões sobre oportunidades de carreira. As conversas mudam gradualmente para plataformas de mensagens privadas como WhatsApp, onde a construção de relacionamento continua por semanas.

Eventualmente, os alvos são convidados a clonar repositórios do GitHub aparentemente legítimos — muitas vezes descritos como avaliações técnicas ou ferramentas relacionadas ao trading de criptomoedas. Esses repositórios contêm dependências maliciosas do Node Package Manager (npm) que instalam um malware de backdoor uma vez integrados.

O malware, apelidado de "BeaverTail", fornece persistência de longo prazo e capacidades de exfiltração de dados. Os invasores podem monitorar teclas digitadas, capturar capturas de tela, acessar credenciais do navegador e, por fim, obter as chaves privadas necessárias para drenar carteiras de criptomoedas.

Iterações recentes incluíram arquivos disfarçados de projetos Python legítimos (como "MonteCarloStockInvestSimulator-main.zip") que ignoram a maioria das detecções de antivírus ao aproveitar a biblioteca legítima pyyaml para execução remota de código.

Por Que os Bilhões Roubados Importam

As criptomoedas roubadas pelo Grupo Lazarus não desaparecem em contas pessoais. De acordo com a análise do Wilson Center, os fundos servem como receita crítica para os programas de armas da Coreia do Norte.

O relatório do MSMT (Ministério da Segurança do Estado) conclui que este fluxo de receita é essencial para "procurar materiais e equipamentos para os programas de armas de destruição em massa e mísseis balísticos ilegais da RPDC".

Esta conexão eleva a segurança das criptomoedas de uma preocupação financeira para uma questão de segurança internacional. Cada ataque bem-sucedido financia o desenvolvimento de armas que ameaçam a estabilidade regional e global.

Defesa Contra Atacantes de Estados-nação

O hack da Bybit revelou que mesmo exchanges ricas em recursos e com segurança sofisticada permanecem vulneráveis. Várias lições emergem da análise da metodologia do Lazarus:

Camada Humana Primeiro

A maioria dos grandes hacks começa com engenharia social, não com explorações técnicas. As organizações devem implementar protocolos de verificação rigorosos para comunicações externas, particularmente aquelas que envolvem ofertas de emprego, oportunidades de investimento ou solicitações de colaboração técnica.

Presuma o Comprometimento

A estratégia "Wagemole" significa que os atores internos já podem estar comprometidos. A autorização multipartidária para transações significativas, a separação de funções e o monitoramento comportamental contínuo tornam-se essenciais.

Módulos de Segurança de Hardware

O gerenciamento de chaves baseado em software — mesmo com carteiras multi-assinatura (multi-signature) — provou ser insuficiente contra o Lazarus. Os módulos de segurança de hardware (HSMs) que exigem interação física para a autorização de transações criam barreiras adicionais.

Limites de Velocidade de Transação

A capacidade de drenar US$ 1,5 bilhão em uma única transação representa uma falha fundamental de design. A implementação de limites de velocidade e saques de grande valor com atraso temporal (time-delay) pode fornecer janelas de detecção mesmo quando os controles primários falham.

Integração de Forense de Blockchain

A integração em tempo real com plataformas de análise de blockchain pode sinalizar padrões de transações suspeitas e rastrear fundos à medida que eles se movem através de redes de lavagem de dinheiro. A detecção precoce aumenta a probabilidade de recuperação.

O Caminho à Frente

A operação de roubo de criptomoedas da Coreia do Norte evoluiu de um hacking oportunista para um crime financeiro industrializado e patrocinado pelo Estado. O roubo acumulado de US$ 6,75 bilhões pelo grupo demonstra que as abordagens tradicionais de segurança são insuficientes contra adversários determinados de Estados-nação.

A indústria enfrenta uma escolha clara: ou implementa medidas de segurança proporcionais à ameaça, ou continua servindo como um caixa eletrônico para atores estatais hostis. Dada a escala dos fundos em jogo e seu uso final no desenvolvimento de armas, esta não é meramente uma decisão de negócios — é uma questão de segurança global.

Para exchanges, custodiantes e protocolos DeFi, o manual do Lazarus Group deve servir como um alerta. Os atacantes demonstraram paciência (passando semanas dentro de sistemas comprometidos), sofisticação (contornando MFA por meio de sequestro de tokens de sessão) e eficiência (lavando centenas de milhões em 48 horas).

A questão não é se os hackers norte-coreanos tentarão outro roubo de um bilhão de dólares. A questão é se a indústria estará melhor preparada quando eles o fizerem.

---

A BlockEden.xyz fornece infraestrutura de blockchain de nível empresarial com monitoramento de segurança integrado e detecção de anomalias. Nossos endpoints RPC suportam integração de inteligência de ameaças em tempo real para ajudar a proteger suas aplicações Web3. Explore nosso API Marketplace para construir em bases seguras.