Em 21 de fevereiro, o maior roubo de criptomoeda da história começou a se desenrolar. Hackers ganharam controle de uma carteira de criptomoeda pertencente à segunda maior exchange de criptomoedas do mundo, a Bybit, e roubaram quase US$ 1,5 bilhão em tokens digitais. Eles rapidamente transferiram o dinheiro entre dezenas de carteiras e serviços de criptomoeda para tentar obscurecer a atividade, antes de começar a converter os fundos roubados em dinheiro.
O impressionante ataque digital tinha todas as características de ter sido conduzido por um dos subgrupos de hackers de elite da Coreia do Norte. Enquanto a Bybit permaneceu solvente ao emprestar criptomoedas e lançou um esquema de recompensa para rastrear os fundos roubados, o FBI rapidamente atribuiu a culpa aos hackers norte-coreanos conhecidos como TraderTraitor.
Antes do roubo da Bybit, o TraderTraitor já havia sido vinculado a outros roubos de criptomoeda de alto perfil e compromissos de software de cadeia de suprimentos.
“Estávamos esperando pela próxima grande coisa”, diz Michael Barnhart, um pesquisador de cibersegurança de longa data focado na Coreia do Norte e investigador da DTEX Systems. “Eles não desapareceram. Eles não tentaram parar. Eles estavam claramente planejando e estão fazendo isso agora”, diz ele.
Os hackers da Coreia do Norte—junto com aqueles da China, Rússia e Irã—são considerados consistentemente uma das ameaças cibernéticas mais sofisticadas e perigosas para as democracias ocidentais. Enquanto todos esses países se envolvem em espionagem e roubo de dados sensíveis, as operações cibernéticas da Coreia do Norte têm seus próprios objetivos distintos: ajudar a financiar os programas nucleares do reino isolado. Cada vez mais, isso significa roubar criptomoeda.
Nos últimos cinco anos, o regime totalitário de Kim Jong-un tem enviado trabalhadores de TI tecnicamente habilidosos para infiltrar empresas ao redor do mundo e ganhar salários que podem ser enviados de volta à pátria. Em alguns casos, após serem demitidos, esses trabalhadores extorquem seus ex-empregadores ameaçando divulgar dados sensíveis. Ao mesmo tempo, hackers norte-coreanos, como parte do amplo grupo Lazarus, roubaram bilhões em criptomoedas de exchanges e empresas ao redor do mundo. O TraderTraitor é uma parte do grupo mais amplo Lazarus, que é administrado pelo Bureau Geral de Reconhecimento, a agência de inteligência da Coreia do Norte.
O TraderTraitor—que também é referido como Jade Sleet, Slow Pisces e UNC4899 por empresas de segurança—está principalmente interessado em criptomoedas.
“Eles usam uma variedade de técnicas criativas para entrar em blockchain, criptomoeda, qualquer coisa que tenha a ver com plataformas, fóruns de negociação, todas essas coisas diferentes que estão em torno de criptomoeda e finanças descentralizadas”, diz Sherrod DeGrippo, diretora de estratégia de inteligência de ameaças da Microsoft. “O grupo Jade Sleet [TraderTraitor] é um dos grupos mais sofisticados dentro desse nível”, diz ela.
O TraderTraitor surgiu por volta do início de 2022, dizem vários pesquisadores de cibersegurança, e provavelmente é um desdobramento do grupo APT38 da Coreia do Norte que hackeou o sistema financeiro SWIFT e tentou roubar US$ 1 bilhão do Banco Central de Bangladesh no início de 2016. “Eles saíram com muito pouco dinheiro”, diz Barnhart da DTEX Systems. “Naquele momento, você teve uma mudança real e significativa.”
Barnhart diz que a Coreia do Norte percebeu que depender de outras pessoas—como mulas de dinheiro—poderia tornar suas operações menos eficazes. Em vez disso, poderiam roubar criptomoedas. Dois grupos surgiram dessa mudança tática, diz Barnhart, CryptoCore e TraderTraitor. “O TraderTraitor é o mais sofisticado de todos”, diz ele. “E por quê? Porque o APT38 era o time A.”
Desde então, o TraderTraitor foi vinculado a múltiplos roubos de criptomoeda de grande escala nos últimos anos. Por exemplo, o roubo de março de 2024 de US$ 308 milhões da empresa de criptomoeda baseada no Japão, DMM, foi vinculado ao TraderTraitor pelo FBI, Departamento de Defesa e polícia do Japão.
O TraderTraitor normalmente visa pessoas que trabalham em empresas Web3 usando mensagens de spear-phishing—mais frequentemente, pessoas que trabalham no desenvolvimento de software. “Eles conhecem os indivíduos que trabalham nessas empresas, eles os rastreiam, têm perfis sobre eles, sabem quais plataformas de negociação estão fazendo o maior volume. Eles estão focados em toda a indústria, entendendo-a de trás para frente”, diz DeGrippo da Microsoft.
O GitHub, que é de propriedade da Microsoft, destacou em julho de 2023 como o TraderTraitor criou contas falsas na plataforma de codificação, além do LinkedIn, Slack e Telegram. Os criminosos do TraderTraitor podem criar falsas personas que usam para enviar mensagens aos seus alvos ou usar contas reais que foram hackeadas, diz a pesquisa do GitHub. Nesse caso, o TraderTraitor convidou desenvolvedores para colaborar no GitHub, antes de, finalmente, infectá-los com malware usando código malicioso. Recentemente, pesquisadores de segurança da equipe de inteligência de ameaças Unit 42 da Palo Alto Networks encontraram 50 perfis de recrutadores norte-coreanos no LinkedIn e os vincularam de volta ao TraderTraitor.
O grupo foi visto usando “backdoors personalizados”, como PLOTTWIST e TIEDYE, que visam macOS, diz Adrian Hernandez, analista sênior de ameaças do Google Threat Intelligence Group. “Esses são tipicamente fortemente ofuscados para evitar a detecção e dificultar a análise”, diz Hernandez. “Uma vez que o UNC4899 [TraderTraitor] obteve acesso a credenciais válidas, observamos que esse ator de ameaça se movia lateralmente e acessava outras contas para acessar hosts e sistemas, mantendo um perfil baixo e visando evitar a detecção.”
Uma vez que os hackers norte-coreanos têm em mãos criptomoeda ou carteiras digitais, a lavagem de dinheiro geralmente segue um padrão semelhante, como a empresa de rastreamento de criptomoedas Elliptic destacou em um post de blog detalhando o hack da Bybit. Para evitar que carteiras de criptomoeda sejam congeladas, eles rapidamente trocam tokens roubados—que muitas vezes são emitidos por entidades centralizadas e podem ter restrições impostas sobre eles—por ativos de criptomoeda mais mainstream como ether e bitcoin que são mais difíceis de limitar.
“O segundo passo do processo de lavagem é ‘camuflar’ os fundos roubados para tentar ocultar a trilha da transação”, escreve a Elliptic. Isso significa dividir os fundos em quantias menores e enviá-los para várias carteiras. Com a Bybit, a Elliptic escreve que o dinheiro foi enviado para 50 carteiras diferentes que foram esvaziadas nos dias seguintes. Essa criptomoeda é então movida através de várias exchanges de criptomoeda, convertida em bitcoin, e passada por mixers de criptomoeda que visam obscurecer transações de criptomoeda.
“A Coreia do Norte é o lavador mais sofisticado e bem equipado de ativos de criptomoeda que existe, continuamente adaptando suas técnicas para evadir a identificação e apreensão de ativos roubados”, diz a Elliptic em seu post de blog.
Além dos roubos de criptomoeda, o TraderTraitor foi vinculado a hacks em empresas de software de cadeia de suprimentos, mais proeminentemente a JumpCloud em junho de 2023. Comprometer software usado por várias empresas pode fornecer aos hackers uma maneira mais furtiva de entrar em seus alvos pretendidos. “Isso pode impactar qualquer indústria de tecnologia, qualquer organização que use esse software”, diz Andy Piazza, diretor sênior de pesquisa de ameaças da Unit 42.
À medida que o TraderTraitor ganhou cada vez mais atenção nos últimos anos, Piazza diz que viu o grupo melhorar suas operações e tentar evadir a detecção. Por exemplo, a pesquisa recente da Unit 42 observou que o TraderTraitor estava usando malware que os pesquisadores chamaram de RN Loader que instala um ladrão de informações e depois se autodeleta, tornando mais difícil a detecção.
“Você pode definitivamente perceber que eles estão se aprimorando”, diz Piazza.
Piazza diz que, ao contrário de grupos de hackers russos desordenados—que estavam tanto nas redes do DNC simultaneamente em 2016—parece haver mais organização com os grupos norte-coreanos. “Parece mais coordenado que eles não estão se esbarrando uns nos outros no espaço de batalha”, diz Piazza. “Eles realmente mostram que têm a capacidade de se concentrar nessa OPSEC, de se concentrar nessa capacidade de persistência.”
As operações de hacking da Coreia do Norte podem ser ainda mais complexas do que muitos percebem. De acordo com Piazza e outros especialistas com quem a WIRED conversou, os hackers de criptomoeda e os trabalhadores de TI disfarçados podem até coordenar. Suas táticas mostram alguma “sobreposição”, diz Piazza.
“Se você agora saísse em algum tipo de site de freelance e dissesse que você é uma nova startup de criptomoeda e está procurando desenvolvedores, antes do final do dia, você teria norte-coreanos na sua caixa de entrada”, diz Barnhart, o pesquisador da DTEX Systems. Ele diz que alguns hackers norte-coreanos podem transitar entre os diferentes grupos do país, e há a possibilidade de que também possam trabalhar com ou ao lado de seus trabalhadores de TI. Pode haver mais sobreposição do que as pessoas pensavam, diz Barnhart.
“Sempre que atribuímos isso [hacking] de volta ao TraderTraitor, ninguém mais estava envolvido? Alguém mais teve uma mão nisso?”