Saltar para o conteúdo principal

CEOs Falsos no Zoom: Como as Campanhas de Deepfake da Coreia do Norte Estão Esvaziando Carteiras de Cripto

· 9 min de leitura
Dora Noda
Dora Noda
Software Engineer

Um cofundador da Polygon descobre estranhos perguntando se ele está realmente em uma chamada de Zoom com eles. Um organizador do BTC Prague assiste a uma réplica convincente gerada por IA de um conhecido CEO de cripto aparecer na tela, apenas para ser solicitado a executar uma "correção rápida de áudio". O fundador de uma startup de IA evita a infecção ao insistir no Google Meet — e os invasores desaparecem. Estas não são cenas de um thriller cyberpunk. Elas aconteceram no início de 2026 e compartilham um fio comum: a máquina de engenharia social de deepfakes em rápida evolução da Coreia do Norte.

De Exploits de Protocolo para Exploits Humanos

Durante anos, os piores pesadelos da indústria de cripto vieram na forma de bugs em contratos inteligentes e vulnerabilidades de bridges. O Lazarus Group da Coreia do Norte — e seus subgrupos como o UNC1069 — colaboraram com isso, realizando roubos que ganharam as manchetes, como o exploit da Ronin Network de $ 620 milhões em 2022 e a violação da exchange Bybit de $ 1,5 bilhão em fevereiro de 2025. Mas, enquanto a indústria tem investido recursos em auditorias de código, verificação formal e bug bounties, Pyongyang mudou silenciosamente seu foco.

A mudança tornou-se inegável no final de 2025. De acordo com a Chainalysis, atores ligados à Coreia do Norte roubaram $ 2,02 bilhões em ativos digitais ao longo de 2025 — um aumento de 51% em relação ao ano anterior, comparado aos $ 1,34 bilhão levados em 2024. As operações da RPDC agora representam cerca de 76% de todos os comprometimentos de serviços de cripto globalmente, elevando a estimativa conservadora cumulativa de roubo de cripto pela Coreia do Norte para além de $ 6,75 bilhões.

Mas a verdadeira história não é apenas o valor em dólares — é o método. A engenharia social, impulsionada por deepfakes gerados por IA, tornou-se o principal vetor de ataque, superando os exploits de contratos inteligentes pela primeira vez.

Por Dentro do Guia de Estratégia do Zoom com Deepfakes

A divisão Mandiant do Google Cloud publicou um relatório detalhado em fevereiro de 2026, atribuindo uma onda de ataques de videochamadas com deepfakes ao UNC1069, um grupo de ameaça motivado financeiramente com vínculos de alta confiança com a Coreia do Norte. Monitorado desde 2018, o UNC1069 mudou do spear-phishing e do alvo nas finanças tradicionais para a indústria Web3 a partir de 2023.

O guia de ataque segue um padrão perturbadoramente eficaz:

  • Passo 1 — Comprometer uma identidade confiável. Os invasores obtêm acesso à conta do Telegram ou ao perfil do LinkedIn de um executivo de criptomoedas. Em um caso documentado, eles sequestraram a conta de um conhecido CEO de cripto e a usaram para contatar alvos secundários.

  • Passo 2 — Agendar uma reunião. A vítima recebe o que parece ser um convite de reunião legítimo, muitas vezes através do Calendly, para uma videochamada de 30 minutos. O link, no entanto, redireciona para um domínio que imita o Zoom de forma convincente.

  • Passo 3 — Implantar o deepfake. Quando a vítima entra, ela vê uma transmissão de vídeo gerada por IA de uma figura familiar da indústria — um parceiro de VC, um colega fundador ou o CEO de uma empresa do portfólio. O deepfake é convincente o suficiente para passar por uma breve verificação visual.

  • Passo 4 — Acionar a infecção ClickFix. Fingindo problemas de áudio, o invasor pede à vítima para executar uma "correção rápida" — normalmente um comando de terminal no macOS ou um script PowerShell no Windows. Esta é a técnica ClickFix: um método de engenharia social que engana as vítimas para infectarem suas próprias máquinas, ignorando completamente os controles de segurança tradicionais.

A Arma ClickFix: Sete Famílias de Malware e Contando

O ClickFix tornou-se uma das técnicas de entrega de malware mais eficazes em 2026 justamente porque explora a confiança em vez da tecnologia. A vítima executa voluntariamente o comando malicioso, acreditando que está resolvendo uma falha técnica comum.

A investigação da Mandiant revelou que o UNC1069 implanta pelo menos sete famílias únicas de malware através deste vetor, incluindo ferramentas anteriormente não documentadas:

  • SILENCELIFT — uma ferramenta de reconhecimento de host que captura dados do sistema e configurações de carteiras de criptomoedas.
  • DEEPBREATH — um módulo de persistência projetado para sobreviver a reinicializações e manter acesso via backdoor.
  • CHROMEPUSH — um payload direcionado a navegadores que extrai credenciais salvas e dados de extensões de cripto de mais de 25 navegadores.
  • BIGMACHO — um backdoor específico para macOS implantado através de iscas de vídeo deepfake.

Essas ferramentas visam 103 extensões de cripto do Chrome, incluindo MetaMask, Exodus e Trust Wallet. O foco no macOS na campanha é deliberado — fundadores e desenvolvedores de criptomoedas usam desproporcionalmente hardware da Apple, e quase todos os stealers de macOS em circulação priorizam o roubo de carteiras de cripto acima de todos os outros objetivos.

Fundadores Reais, Casos Reais de Quase Sucesso

As histórias humanas por trás desses ataques ilustram tanto a sofisticação quanto a vulnerabilidade.

Sandeep Nailwal, cofundador da Polygon, deu o alarme publicamente quando vários contatos lhe enviaram mensagens no Telegram perguntando se ele estava atualmente em uma chamada de Zoom com eles. Os invasores usaram um deepfake de Nailwal para realizar reuniões falsas simultâneas com vários alvos, aproveitando sua reputação como uma figura conhecida da indústria.

Martin Kuchař, cofundador da BTC Prague, foi alvo através de uma conta comprometida do Telegram e de uma videochamada encenada projetada para enviar malware disfarçado como uma correção de áudio do Zoom. A sofisticação da configuração — desde o convite de calendário com aparência legítima até o vídeo deepfake em tempo real — ressaltou o quanto essas campanhas evoluíram além dos e-mails básicos de phishing.

Eugene Vyborov, CEO da Ability AI, forneceu um exemplo clássico de como sobreviver a uma tentativa. Quando os invasores o redirecionaram para uma página falsa de "ajuda" do Zoom com comandos de terminal para executar, ele parou de interagir e insistiu em mudar para o Google Meet. Os invasores recusaram, citando "política da empresa", e então apagaram prontamente toda a conversa no Telegram — um sinal revelador da natureza roteirizada da operação.

IA como Espada e Escudo

O que torna esta nova geração de ataques particularmente alarmante é o próprio uso de ferramentas de IA pelos atacantes. De acordo com a pesquisa de inteligência de ameaças do Google, observou-se que o UNC1069 utiliza a IA Gemini do Google para desenvolver ferramentas, realizar pesquisas operacionais sobre vítimas em potencial e gerar imagens e vídeos de deepfake usados em suas campanhas.

Isso cria uma corrida armamentista assimétrica. O custo de produção de um deepfake convincente despencou, enquanto o custo de verificação de identidade em tempo real permanece alto. Um relatório de pesquisa da Bitget descobriu que golpes de personificação baseados em IA contribuíram para um aumento de $ 4,6 bilhões em fraudes cripto em 2025, e a trajetória para 2026 não mostra sinais de desaceleração.

As implicações estendem-se para além dos alvos individuais. Quando os atacantes conseguem personificar de forma convincente VCs, fundadores e executivos, o tecido de confiança que sustenta a realização de acordos, votos de governança e negociações de parceria começa a se desgastar. Uma única chamada de deepfake bem-sucedida pode comprometer não apenas uma carteira, mas o acesso à tesouraria de uma organização inteira.

Defendendo-se Contra a Ameaça de Deepfake

A resposta da indústria cripto ainda está amadurecendo, mas vários padrões defensivos estão surgindo:

Verifique através de um segundo canal. A defesa individual mais eficaz demonstrada nos incidentes de 2026 é a verificação fora de banda. Antes de executar qualquer ação solicitada durante uma chamada de vídeo, confirme a identidade do participante através de um canal de comunicação separado — uma chamada telefônica, uma mensagem no Signal ou até mesmo uma palavra de código pré-compartilhada.

Recuse demandas específicas de plataforma. A insistência de Eugene Vyborov no Google Meet foi eficaz precisamente porque a infraestrutura dos atacantes foi construída especificamente para o Zoom falso. Qualquer insistência em uma plataforma específica, especialmente combinada com desculpas sobre "política da empresa", deve ser tratada como um sinal de alerta.

Nunca execute comandos de terminal a partir de uma chamada. Nenhuma reunião de negócios legítima exige que os participantes executem comandos de shell ou instalem software. Isso se aplica independentemente de quem aparece na tela. As organizações devem estabelecer políticas explícitas: participantes de chamadas de vídeo nunca solicitam a execução de comandos.

Adote a assinatura de transações baseada em hardware. Carteiras de hardware que exigem confirmação física para transações permanecem imunes a comprometimentos de software impulsionados por deepfakes. Configurações multi-assinatura adicionam camadas adicionais que a engenharia social sozinha não pode contornar.

Implemente a verificação Know Your Agent (KYA). À medida que agentes de IA participam cada vez mais das operações cripto, a verificação da identidade e autorização de participantes humanos e automatizados torna-se crítica. Os padrões emergentes de KYA visam fornecer prova criptográfica da identidade do participante antes de ações de alto valor.

O Que Vem a Seguir

A operação de roubo de cripto da Coreia do Norte não é uma empresa criminosa marginal — é um programa patrocinado pelo Estado que gera bilhões em receita anualmente, financiando programas de armas e contornando sanções internacionais. A mudança de explorações de protocolo para a engenharia social com deepfake representa um cálculo estratégico: à medida que a segurança dos contratos inteligentes melhora, os seres humanos continuam sendo o alvo mais frágil.

As campanhas de deepfake de 2026 revelam um ator de ameaça que se adapta mais rápido do que muitos defensores. As ferramentas do UNC1069 são desenvolvidas ativamente com assistência de IA, seu arsenal de malware continua se expandindo e seus roteiros de engenharia social são refinados a cada tentativa fracassada. As variantes do ClickFix — FileFix, JackFix, ConsentFix, CrashFix, GlitchFix — que proliferam pelo ecossistema sugerem que a eficácia da técnica atraiu imitadores além dos atores estatais norte-coreanos.

Para a indústria cripto, a lição é clara: o próximo hack de um bilhão de dólares pode não explorar uma linha de Solidity. Ele pode começar com um rosto amigável no Zoom pedindo para você consertar o seu áudio.

Construir uma infraestrutura de blockchain segura começa com serviços de nó e APIs confiáveis de nível empresarial. BlockEden.xyz fornece endpoints RPC de alta disponibilidade nas principais redes — para que os desenvolvedores possam se concentrar na construção de aplicações resilientes sem se preocupar com vulnerabilidades de infraestrutura.

Share on Twitter