O "Ano Gordo" dos hackers da Coreia do Norte: 2025, roubo de fundos atinge recorde histórico

2025年 para os grupos de hackers da Coreia do Norte, sem dúvida, foi um ano de colheita abundante. De acordo com o relatório de ataques de hackers de 2025 divulgado pela Chainalysis, embora o número de ataques realizados pelos hackers norte-coreanos tenha diminuído significativamente, o valor de fundos roubados atingiu um recorde histórico. Por trás deste fenómeno aparentemente contraditório, reflete-se a crescente sofisticação dos métodos utilizados por estes grupos de crime cibernético de nível estatal.

Por trás do ano de colheita: menos ataques, mais roubo de fundos

O ecossistema de criptomoedas enfrentou um desafio severo em 2025. Segundo estatísticas, o valor total roubado ao longo do ano ultrapassou os 3,4 mil milhões de dólares, sendo que apenas o grande ataque ao Bybit em fevereiro causou perdas de 1,5 mil milhões de dólares.

Os hackers norte-coreanos destacaram-se nesta “ano de fartura”. Em 2025, eles roubaram criptomoedas no valor de até 2,02 mil milhões de dólares, um aumento de 51% em relação aos 1,339 mil milhões de dólares de 2024. Ainda mais alarmante, este foi o ano mais grave de roubos de criptomoedas na história da Coreia do Norte, com um total acumulado de roubos que já atingiu 6,75 mil milhões de dólares.

Para tornar os números ainda mais impressionantes, os ataques norte-coreanos representaram 76% de todas as invasões, atingindo um recorde histórico. Apesar de uma redução de 74% nos ataques confirmados, o valor roubado aumentou drasticamente. Isso indica que os hackers da Coreia do Norte estão a realizar ataques mais eficientes e direcionados — eles reduziram a frequência dos ataques, concentrando-se em alvos de maior valor.

Uma rede de lavagem de dinheiro única: características operacionais dos hackers norte-coreanos

O sucesso do “ano de fartura” dos hackers norte-coreanos deve-se, em grande parte, ao seu padrão distinto de lavagem de dinheiro e à rede de operações que utilizam. As suas atividades de lavagem diferem completamente de outros criminosos cibernéticos.

Características de “partição” nas atividades de lavagem

A lavagem de dinheiro por hackers norte-coreanos apresenta um padrão claro de “partição”, com mais de 60% das transações concentradas em valores inferiores a 50 mil dólares. Isto difere totalmente da lógica de operação de outros hackers — mais de 60% dos fundos transferidos na cadeia de blocos por outros grupos de hackers estão em intervalos superiores a 1 milhão de dólares, muitas vezes feitos em várias etapas.

Preferências evidentes por certos serviços

Em comparação com outros hackers, os hackers norte-coreanos demonstram um padrão de preferência distinto na fase de lavagem:

• Transferências de fundos em chinês e serviços de garantia (+355% para mais de 1000%): Esta é a característica mais marcante, com forte dependência de serviços de garantia em chinês e de redes de lavagem compostas por vários operadores com controlo regulatório mais fraco. Esta preferência é muito mais pronunciada do que a de outros criminosos.

• Serviços de ponte entre blockchains (+97%): Alta dependência de pontes entre blockchains para transferir ativos, dificultando o rastreamento.

• Serviços de mistura (+100%): Uso mais frequente de serviços de mistura para esconder os rastros de fluxo de fundos.

• Serviços profissionais (+356%): Uso estratégico de plataformas específicas como Huione para facilitar a lavagem de dinheiro.

Por outro lado, os hackers norte-coreanos evitam claramente canais de lavagem utilizados por outros grupos: protocolos de empréstimo (-80%), exchanges sem KYC (-75%), exchanges P2P (-64%), CEX (-25%) e DEX (-42%).

Circulação de fundos em 45 dias: revelando o ciclo de lavagem em múltiplas fases

O influxo massivo de fundos roubados no início de 2025 forneceu informações valiosas às autoridades. Através da análise das atividades na cadeia, os investigadores descobriram que os hackers norte-coreanos seguem um percurso estruturado e em múltiplas fases, que normalmente dura cerca de 45 dias.

Primeira fase: segmentação imediata (dias 0-5)

Nos primeiros dias após o ataque, foram observadas atividades anormais e altamente ativas:

• O fluxo de fundos roubados de protocolos DeFi aumentou até 370%, tornando-se o principal ponto de entrada.
• O volume de transações em serviços de mistura aumentou entre 135% e 150%, formando a primeira camada de confusão.
• Esta fase representa uma ação de “primeira etapa” de emergência, com o objetivo de separar-se do roubo inicial.

Segunda fase: integração preliminar (dias 6-10)

Após a segunda semana, a estratégia de lavagem começou a direcionar os fundos para serviços que facilitam a entrada em ecossistemas mais amplos:

• Exchanges com menos restrições KYC (+37%) e CEX (+32%) começaram a receber fundos.
• A segunda camada de atividades de mistura (+76%) continuou a ocorrer com menor intensidade.
• Pontes entre blockchains (como XMRt, +141%) ajudaram a dispersar e esconder os fundos entre diferentes redes.
• Este é um período de transição crucial, com os fundos a começarem a fluir para canais de saída potenciais.

Terceira fase: integração de cauda longa (dias 20-45)

Na fase final, há uma clara preferência por serviços que possibilitam a troca final por moeda fiduciária ou outros ativos:

• Exchanges sem KYC (+82%) e serviços de garantia (como “garantia de batata”, +87%) tiveram aumento significativo no uso.
• Exchanges instantâneas (+61%) e plataformas chinesas (como HuiWang, +45%) tornaram-se os pontos finais de troca.
• As CEX também receberam fundos, indicando tentativas complexas de misturar fundos legítimos com ilegítimos.
• Plataformas com menor regulação, como redes de lavagem chinesas (+33%) e Grinex (+39%), completaram este padrão.

Este ciclo de lavagem, geralmente de 45 dias, fornece informações cruciais para as equipas de investigação e conformidade. Este padrão tem-se mantido ao longo de vários anos, sugerindo que os hackers norte-coreanos enfrentam limitações operacionais, possivelmente devido à dificuldade de acesso a infraestruturas financeiras e à necessidade de coordenação com intermediários específicos.

A ameaça crescente aos utilizadores individuais

Durante o “ano de fartura” de 2025, uma tendência preocupante foi o aumento dos ataques a carteiras pessoais.

Expansão do número de roubos

Em 2025, o número de carteiras pessoais roubadas atingiu 158 mil, quase o triplo das 54 mil registadas em 2022. O número de vítimas aumentou de 40 mil em 2022 para pelo menos 80 mil em 2025. Este crescimento expressivo provavelmente deve-se à adoção mais ampla de criptomoedas. Por exemplo, uma das blockchains com maior número de carteiras pessoais ativas, Solana, lidera em número de roubos, com cerca de 26,5 mil vítimas.

Valor roubado por vítima, porém, diminui

Apesar do aumento de incidentes e vítimas, o valor total roubado por vítima caiu de um pico de 1,5 mil milhões de dólares em 2024 para 713 milhões em 2025. Isto indica que os atacantes estão a atingir mais utilizadores, mas com valores roubados menores por vítima — uma mudança importante.

Risco não distribuído uniformemente

As taxas de roubo por 10 mil carteiras são mais elevadas na Ethereum e na TRON, apesar de as plataformas Base e Solana terem uma base de utilizadores grande, apresentando taxas de vítima mais baixas. Isto mostra que o risco de segurança para carteiras pessoais no ecossistema de criptomoedas não é uniforme, sendo influenciado por fatores como características do utilizador, aplicações populares e infraestruturas criminosas.

Segurança em DeFi: uma surpresa positiva

Apesar do “ano de fartura” dos hackers norte-coreanos em 2025, surgiram sinais encorajadores na segurança do ecossistema de criptomoedas — a situação de segurança em DeFi está a melhorar.

Aumento do TVL de DeFi enquanto perdas por ataques permanecem estáveis

Dados revelam três fases distintas:

• (2020-2021): TVL de DeFi e perdas por ataques cresceram em paralelo.
• (2022-2023): ambos diminuíram em conjunto.
• (2024-2025): TVL recuperou, enquanto perdas por ataques permaneceram estáveis.

Esta diferença é particularmente notável. O TVL de DeFi subiu significativamente desde o mínimo de 2023, mas as perdas causadas por ataques não aumentaram na mesma proporção. Apesar de dezenas de bilhões de dólares terem retornado a esses protocolos, os incidentes de ataques a DeFi continuam em níveis baixos, o que representa uma mudança de grande significado.

Dois fatores explicam esta discrepância. Primeiro, melhorias na segurança — os protocolos DeFi podem estar a implementar medidas de segurança mais eficazes do que durante 2020-2021. Segundo, mudança de foco — o aumento simultâneo de roubos a carteiras pessoais e ataques a serviços centralizados indica que os atacantes estão a direcionar-se para outros alvos.

Caso de sucesso na defesa do protocolo Venus

O incidente no protocolo Venus, ocorrido na segunda metade de 2025, demonstra que as melhorias de segurança estão a dar resultados concretos.

Na ocasião, os atacantes usaram uma conta comprometida do Zoom para obter acesso ao sistema e convencer um utilizador a conceder autorização de uma conta avaliada em 13 milhões de dólares. Poderia ter sido catastrófico, mas o Venus tinha, há um mês, ativado a plataforma de monitorização de segurança Hexagate.

Esta plataforma detectou atividades suspeitas 18 horas antes do ataque e emitiu alertas assim que as transações maliciosas ocorreram. Em 20 minutos, o Venus suspendeu o protocolo, impedindo qualquer fluxo de fundos. A resposta subsequente foi rápida e eficaz:

• Após 5 horas, a verificação de segurança foi concluída e algumas funcionalidades foram restabelecidas.
• Em 7 horas, os fundos do atacante foram forçados a serem liquidados.
• Em 12 horas, todos os fundos roubados foram recuperados e o serviço restabelecido.

O mais notável é que o Venus aprovou uma proposta de governança para congelar os ativos do atacante, que ainda controlava 3 milhões de dólares. O atacante não conseguiu lucrar e acabou por perder fundos.

Evolução das táticas dos hackers norte-coreanos e ameaças futuras

O sucesso do “ano de fartura” dos hackers norte-coreanos em 2025 deve-se não só ao aumento do valor roubado, mas também à contínua evolução das suas táticas.

De infiltrações internas a engenharia social complexa

Estão a aumentar as tentativas de infiltração através da colocação de pessoal de TI dentro de serviços de criptomoedas para obter acessos privilegiados. Mas recentemente, grupos ligados à Coreia do Norte inverteram completamente este padrão. Em vez de simplesmente candidatar-se a posições e infiltrar-se como funcionários, eles passaram a se passar por recrutadores de empresas conhecidas de Web3 e IA, elaborando processos de recrutamento falsos, e usando “triagens técnicas” como pretexto para obter credenciais de login, código fonte e acessos VPN ou SSO de empregadores atuais.

No nível de alta gestão, táticas semelhantes de engenharia social aparecem na forma de contatos com investidores estratégicos falsos ou compradores potenciais. Usam reuniões de apresentação e investigações de due diligence falsas para explorar informações sensíveis de sistemas e infraestrutura de alto valor, evoluindo a partir de ações de fraude com trabalhadores de TI.

Ataques precisos a alvos de alto valor

De 2022 a 2025, os ataques dos hackers norte-coreanos concentram-se nas faixas de maior valor, ao contrário de uma distribuição mais normal de roubos. Este padrão reforça a ideia de que, ao realizar ataques, eles visam grandes serviços para maximizar o impacto.

Ajuste estratégico do ritmo de ataques

Os três maiores ataques de 2025 representaram 69% de todas as perdas, e a relação entre o maior ataque e a mediana das ocorrências ultrapassou pela primeira vez a marca de 1000 vezes. O impacto do ataque ao Bybit na sua atividade anual mostra que, após um grande roubo, os hackers tendem a diminuir o ritmo de operações e focar na lavagem de dinheiro.

Desafios para 2026

O desempenho dos hackers norte-coreanos em 2025, com um “ano de fartura”, revela a complexidade do cenário de segurança na criptomoeda atual. Apesar de melhorias na defesa de protocolos DeFi e de exemplos de respostas bem-sucedidas, o fato de terem atingido um recorde de valor roubado indica que o ecossistema ainda enfrenta ameaças severas.

Para a indústria de criptomoedas, esta evolução exige maior vigilância sobre alvos de alto valor e maior capacidade de identificar os padrões específicos de lavagem de dinheiro da Coreia do Norte. A preferência contínua por serviços de garantia em chinês, pontes entre blockchains e valores de transferência específicos oferece oportunidades de deteção, distinguindo-os de outros criminosos e ajudando as autoridades a identificar suas características na cadeia de blocos.

À medida que a Coreia do Norte continua a usar criptomoedas para financiar prioridades nacionais e evitar sanções internacionais, o setor deve reconhecer que os seus métodos operacionais diferem radicalmente dos criminosos comuns. O recorde de 2025 — com uma redução de 74% nos ataques conhecidos, mas um aumento expressivo no valor roubado — mostra que provavelmente só estamos a ver a parte mais visível das suas atividades.

O grande desafio para 2026 será detectar e impedir ações semelhantes ao ataque ao Bybit antes que eles possam ocorrer novamente. Isto exige que a indústria aumente a segurança, monitorize continuamente e analise os padrões únicos de operação dos hackers norte-coreanos, fornecendo dados essenciais para estratégias de defesa futuras.