Os espiões cibernéticos norte-coreanos já não são apenas ameaças remotas

A exploração de 285 milhões de dólares este mês na Drift, uma exchange descentralizada (DEX), foi o maior hack cripto em mais de um ano, quando a exchange Bybit perdeu 1,4 mil milhões de dólares. Hackers apoiados pelo estado norte-coreano foram nomeados como principais suspeitos em ambos os ataques.

No outono passado, os atacantes posaram como uma empresa de negociação quantitativa e abordaram a equipa de protocolo da Drift pessoalmente numa grande conferência cripto, disse a Drift numa publicação no X no domingo.

"Agora compreende-se que isto parece ser uma abordagem direcionada, onde indivíduos deste grupo continuaram a procurar e envolver deliberadamente contribuidores específicos da Drift, pessoalmente, em múltiplas grandes conferências da indústria em vários países durante os seis meses seguintes", disse a DEX.

Até agora, os espiões cibernéticos norte-coreanos têm visado empresas cripto online, através de chamadas virtuais e trabalho remoto. Uma abordagem presencial numa conferência normalmente não levantaria suspeitas, mas a exploração da Drift deveria ser suficiente para que os participantes revejam as ligações feitas em eventos recentes.

A Coreia do Norte expande o manual cripto além dos hacks

A empresa de análise forense de blockchain TRM Labs descreveu o incidente como o maior hack DeFi de 2026 (até agora) e a segunda maior exploração na história da Solana, logo atrás do hack da ponte Wormhole de 326 milhões de dólares em 2022.

O contacto inicial remonta a cerca de seis meses, mas a exploração em si remonta a meados de março, de acordo com a TRM. O atacante começou por mover fundos do Tornado Cash e implementar o CarbonVote Token (CVT), enquanto usava engenharia social para persuadir signatários multisig a aprovar transações que concediam permissões elevadas.

Depois fabricaram credibilidade para o CVT ao cunhar uma grande oferta e inflar a atividade de negociação para simular procura real. Os oráculos da Drift captaram o sinal e trataram o token como um ativo legítimo.

Quando as transações pré-aprovadas foram executadas a 1 de abril, o CVT foi aceite como garantia, os limites de levantamento foram aumentados e os fundos foram levantados em ativos reais, incluindo USDC.

Relacionado: Espião norte-coreano comete erro e revela ligações em entrevista de emprego falsa

De acordo com a TRM, a velocidade e agressividade da lavagem subsequente excedeu a observada no hack da Bybit.

Acredita-se amplamente que a Coreia do Norte está a usar roubos cripto em larga escala como os ataques à Drift e Bybit juntamente com táticas de longo prazo, incluindo colocar operativos em funções remotas em empresas de tecnologia e cripto para gerar rendimento estável. O Conselho de Segurança das Nações Unidas disse que tais fundos são usados para apoiar o programa de armas do país.

A investigadora de segurança Taylor Monahan disse que a infiltração de protocolos DeFi remonta ao "verão DeFi", acrescentando que cerca de 40 protocolos tiveram contacto com suspeitos operativos da RPDC.

A média estatal norte-coreana reportou na quinta-feira que o país testou uma arma eletromagnética e um míssil balístico de curto alcance, conhecido como Hwasong-11, equipado com ogivas de munição em cluster.

Rede de infiltração alimenta receita cripto constante

Uma investigação separada revelou como uma rede de trabalhadores de TI ligados à Coreia do Norte gerou milhões através de infiltração prolongada.

Dados obtidos de uma fonte anónima partilhados por ZachXBT mostraram a rede a posar como programadores e a infiltrar-se em empresas cripto e de tecnologia, gerando aproximadamente 1 milhão de dólares por mês e mais de 3,5 milhões de dólares desde novembro.

O grupo conseguiu empregos usando identidades falsificadas, encaminhou pagamentos através de um sistema partilhado, depois converteu fundos em fiat e enviou-os para contas bancárias chinesas através de plataformas como a Payoneer.

Relacionado: É freelancer? Os espiões norte-coreanos podem estar a usá-lo

A operação baseou-se em infraestrutura básica, incluindo um website partilhado com uma palavra-passe comum e tabelas de classificação internas a monitorizar ganhos. 

Os agentes candidataram-se a funções abertamente usando VPNs e documentos fabricados, apontando para uma estratégia de longo prazo de infiltrar operativos para extrair receita estável.

Defesas evoluem à medida que as táticas de infiltração se espalham

O Cointelegraph encontrou um esquema semelhante numa investigação de 2025 liderada por Heiner García, que passou meses em contacto com um suspeito operativo.

O Cointelegraph participou posteriormente na entrevista simulada de García com um suspeito que se fazia chamar "Motoki", que alegava ser japonês. O suspeito abandonou a chamada furiosamente depois de falhar em apresentar-se no seu suposto dialeto nativo.

A investigação descobriu que os operativos contornaram restrições geográficas usando acesso remoto a dispositivos fisicamente localizados em países como os EUA. Em vez de VPNs, operavam essas máquinas diretamente, fazendo com que a sua atividade parecesse local.

Até agora, os recrutadores de tecnologia perceberam que a pessoa do outro lado de uma entrevista de emprego virtual pode de facto ser um espião cibernético norte-coreano. Uma estratégia de defesa viral é pedir aos suspeitos que insultem Kim Jong Un. Até agora, a tática tem sido eficaz.

No entanto, como a Drift foi abordada pessoalmente e as descobertas de García mostraram operativos a encontrar métodos criativos para contornar restrições geográficas, os atores norte-coreanos continuaram a adaptar-se à dinâmica de gato e rato.

Pedir aos entrevistados para chamar o líder supremo da Coreia do Norte de "porco gordo" é uma estratégia eficaz por enquanto, mas os investigadores de segurança alertam que isto não funcionará para sempre.

Magazine: Cheques fantasma de Bitcoin, China rastreia impostos na blockchain: Asia Express