Perdas de Criptomoedas Ligadas à Coreia do Norte Aumentam 51% em 2025, Aponta Relatório

Hackers afiliados ao estado da Coreia do Norte intensificaram sua presença no ecossistema de criptomoedas durante 2025, causando perdas superiores a 2 bilhões de dólares e marcando um aumento de 51% em relação ao ano anterior, de acordo com o Relatório de Panorama de Ameaças ao Setor Financeiro de 2026 da CrowdStrike. As descobertas posicionam atores ligados à DPRK como a maior ameaça pelo valor em dólares dos ativos roubados, destacando uma mudança para alvos de alto valor e uma segurança operacional cada vez mais sofisticada.

Segundo o relatório, a rede de ameaças da DPRK perseguiu menos campanhas do que nos anos anteriores, mas obteve retornos substancialmente maiores ao focar em alvos de alto valor e ao fortalecer a cadeia desde o roubo até a conversão em dinheiro. Acredita-se que os lucros roubados sejam lavados para financiar os programas militares do regime, um padrão que a CrowdStrike observa como um objetivo persistente desses atores. A ênfase do grupo em operações centralizadas de alto impacto contrasta com uma disseminação mais ampla de incidentes de menor valor observados em anos anteriores.

Principais pontos

Atores afiliados ao estado da DPRK causaram mais de 2 bilhões de dólares em perdas de criptomoedas em 2025, um aumento de 51% em relação ao ano anterior, segundo o relatório de 2026 da CrowdStrike.

A DPRK continua sendo o maior grupo de ameaça pelo valor em dólares roubados, refletindo uma mudança estratégica para alvos de alto valor e monetização eficiente.

Projetos Web3 e exchanges de criptomoedas foram alvos preferenciais devido à liquidez mais fácil e maior anonimato ao converterem os fundos, de acordo com as descobertas do panorama de ameaças.

Os fundos roubados provavelmente são lavados para financiar programas militares, com menos campanhas entregando retornos marcadamente maiores, sinalizando uma mudança na economia dos ataques.

Esforços de infiltração e engenharia social vão além do ciberespaço, com pontos de contato offline e intermediários de terceiros desempenhando papel em operações mais sofisticadas.

Perdas crescentes e um roteiro de alto valor

A avaliação da CrowdStrike destaca um paradoxo em ação: mesmo com a redução no número de campanhas, o impacto financeiro aumentou porque o grupo priorizou alvos maiores e mais lucrativos. A empresa observa que os ativos roubados são em grande parte canalizados para maximizar o anonimato e a liquidez, permitindo uma conversão mais rápida em fundos utilizáveis enquanto evitam controles financeiros tradicionais. A recorrência desses padrões sugere uma mudança deliberada para maximizar o valor por operação, em vez de apenas aumentar o volume de incidentes.

“Os lucros roubados quase certamente são lavados para financiar os programas militares do regime. Em comparação com 2024, adversários ligados à DPRK realizaram menos campanhas, mas obtiveram retornos significativamente maiores ao priorizar alvos de alto valor.”

Essas conclusões surgem enquanto o panorama de ameaças indica uma maturação das operações vinculadas à DPRK, com investigadores apontando para um conjunto de ferramentas em expansão que combina intrusão tradicional com engenharia social e compromissos no estilo cadeia de suprimentos. O relatório também enfatiza que a disposição do grupo em explorar vulnerabilidades em empresas de criptografia — desde equipes de projetos até exchanges — ilustra uma estratégia de alvo amplo que visa maximizar tanto o acesso quanto as oportunidades de monetização.

Por que Web3 e exchanges permanecem pontos focais

A discussão de segurança de quarta-feira sobre atores da DPRK centra-se na economia do roubo de criptomoedas. O relatório observa que carteiras de alto valor e exchanges centralizadas oferecem liquidez mais profunda e rotas de saída mais rápidas, o que reduz o tempo que os fundos permanecem expostos a rastreamento e riscos de apreensão. Nesse sentido, a atração de projetos Web3 e plataformas de criptomoedas não é apenas pelo roubo, mas pela capacidade de converter ativos roubados em moeda utilizável com menos atrito do que as vias financeiras tradicionais.

Além dos roubos diretos, o ecossistema mais amplo deve ficar atento às estratégias de engenharia social em evolução, projetadas para explorar as redes de confiança ao redor de protocolos em desenvolvimento e processos de governança. À medida que o modelo de ameaça se torna mais sofisticado, a importância de práticas de segurança robustas — como gerenciamento rigoroso de riscos de fornecedores, revisão de código e autenticação resistente a phishing — ganha uma urgência renovada para construtores e operadores do espaço cripto.

Infiltração, online e offline: incidentes notáveis

Em abril, a Fundação Ethereum, que supervisiona o desenvolvimento do Ethereum, sinalizou publicamente a escala do envolvimento da DPRK em intrusões no Web3, identificando um grupo substancial de operativos apoiados pela DPRK infiltrando vários projetos de criptomoedas. A implicação é que o grupo mantém acesso persistente e multifacetado aos ecossistemas-alvo, combinando intrusões remotas com networking no terreno para ampliar sua influência.

Um episódio amplamente citado envolve o Drift Protocol, uma exchange descentralizada, onde atacantes supostamente infiltraram e comprometeram ambientes de desenvolvedores após estabelecerem relacionamentos com a equipe do projeto. A equipe do Drift Protocol relatou que os atacantes foram apresentados ao projeto durante uma conferência importante da indústria de criptomoedas e cultivaram uma relação de trabalho ao longo de seis meses. Durante esse período, malware foi implantado contra máquinas de desenvolvedores, contribuindo para perdas de aproximadamente 280 milhões de dólares. A liderança do Drift destacou que os indivíduos que apareceram pessoalmente não eram nacionais da Coreia do Norte, mas observaram que atores da DPRK frequentemente dependem de intermediários de terceiros para facilitar contatos presenciais.

A narrativa mais ampla sobre reconhecimento offline e recrutamento presencial é reforçada por observações de outros setores, incluindo relatos de trabalhadores de TI da Coreia do Norte envolvidos com empresas de tecnologia e utilizando canais legítimos de emprego para facilitar atividades ilícitas. Pesquisadores como ZachXBT destacaram casos em que trabalhadores de TI ligados à DPRK ganharam somas mensais substanciais em esquemas relacionados, reforçando a natureza transversal da ameaça tanto online quanto offline.

Para investidores, construtores e operadores, esses incidentes sinalizam uma corrida armamentista contínua entre atores de ameaça e equipes de segurança que protegem plataformas de criptomoedas. O episódio do Drift, em particular, demonstra como pontos de apoio de atacantes podem ser plantados por meio de canais de desenvolvimento confiáveis, transformando cadeias de suprimentos de software essenciais em vetores de grandes perdas. O aviso mais amplo é claro: até mesmo interações comunitárias aparentemente confiáveis e engajamentos de terceiros podem se tornar superfícies de risco se a devida diligência e a higiene de segurança não forem mantidas de forma robusta.

O que vem a seguir para o mercado e a estratégia de defesa

À medida que o panorama de ameaças se cristaliza em torno de operações apoiadas pela DPRK, os participantes do mercado devem esperar uma ênfase contínua no roubo de alto valor e em técnicas sofisticadas de monetização. Reguladores, empresas de segurança e equipes de plataformas provavelmente reforçarão controles de governança, segurança na cadeia de suprimentos e monitoramento aprimorado de fluxos na cadeia relacionados a carteiras e entidades conhecidas ligadas à DPRK. A convergência de intrusões cibernéticas, engenharia social e estratégias de roubo de alto retorno aponta para um risco persistente e dinâmico que testará a resiliência da infraestrutura cripto e dos programas de conformidade.

No futuro, os observadores ficarão atentos a divulgações mais detalhadas de empresas de inteligência de ameaças e operadores de plataformas sobre os padrões operacionais de atores da DPRK, incluindo quaisquer novas contramedidas que consigam interromper os canais mais lucrativos. A identificação da Fundação Ethereum de centenas de operativos apoiados pela DPRK e as reflexões pós-incidente do Drift Protocol podem prenunciar uma maior busca por transparência e defesa proativa em todo o ecossistema. Para os leitores, a questão-chave permanece: quão rapidamente a indústria pode transformar esses insights em melhorias concretas de segurança que reduzam tanto a frequência quanto o impacto de futuras violações.

À medida que o ano avança, a comunidade cripto precisará monitorar tanto as respostas de governança quanto as salvaguardas técnicas. Investidores e usuários devem manter vigilância em relação a auditorias de segurança de projetos, proteções de computação multipartidária e planejamento de resposta a incidentes robusto — áreas onde o custo da inação pode ser medido em milhões de dólares, além de possíveis danos reputacionais duradouros.

Este artigo foi originalmente publicado como Coreia do Norte: Perdas em Criptomoedas Aumentam 51% em 2025, Aponta Relatório na Crypto Breaking News — sua fonte confiável para notícias de cripto, notícias de Bitcoin e atualizações de blockchain.