Perdas de Criptomoedas Ligadas à Coreia do Norte Aumentam 51% em 2025, Revela Relatório

Hackers afiliados ao estado da Coreia do Norte intensificaram sua presença no ecossistema de criptomoedas durante 2025, causando perdas superiores a 2 bilhões de dólares e registando um aumento de 51% em relação ao ano anterior, de acordo com o Relatório do Panorama de Ameaças ao Setor Financeiro de 2026 da CrowdStrike. As descobertas posicionam os atores ligados à DPRK como a maior ameaça em valor de ativos roubados, sublinhando uma mudança para alvos de alto valor e uma segurança operacional cada vez mais sofisticada.

Segundo o relatório, a rede de ameaças da DPRK perseguiu menos campanhas do que nos anos anteriores, mas obteve retornos substancialmente maiores ao focar em alvos de alto valor e ao reforçar a cadeia desde o roubo até à conversão em dinheiro. Acredita-se que os lucros roubados sejam lavados para financiar os programas militares do regime, um padrão que a CrowdStrike observa como um objetivo persistente desses atores. A ênfase do grupo em operações centralizadas de alto impacto contrasta com uma disseminação mais ampla de incidentes de menor valor observados em anos anteriores.

Principais conclusões

Atores afiliados ao estado da DPRK causaram mais de 2 bilhões de dólares em perdas no setor de criptomoedas em 2025, um aumento de 51% em relação ao ano anterior, segundo o relatório de 2026 da CrowdStrike.

A DPRK continua sendo o maior grupo de ameaça pelo valor em dólares roubados, refletindo uma mudança estratégica para alvos de alto valor e monetização eficiente.

Projetos Web3 e bolsas de criptomoedas foram alvos preferenciais devido à maior liquidez e anonimato ao cash-out, de acordo com as descobertas do panorama de ameaças.

Os fundos roubados provavelmente são lavados para financiar programas militares, com menos campanhas entregando retornos marcadamente maiores, sinalizando uma mudança na economia dos ataques.

Esforços de infiltração e engenharia social vão além do ciberespaço, com pontos de contato offline e intermediários de terceiros desempenhando um papel em operações mais sofisticadas.

Perdas crescentes e um roteiro de alto valor

A avaliação da CrowdStrike destaca um paradoxo em ação: mesmo com a diminuição do número de campanhas, o impacto financeiro aumentou porque o grupo priorizou alvos maiores e mais lucrativos. A empresa observa que os ativos roubados são em grande parte canalizados para canais que maximizam o anonimato e a liquidez, permitindo uma conversão mais rápida em fundos utilizáveis enquanto evitam controles financeiros tradicionais. A recorrência desses padrões sugere uma mudança deliberada para maximizar o valor por operação, em vez de simplesmente aumentar o volume de incidentes.

“Os lucros roubados são quase certamente lavados para financiar os programas militares do regime. Em comparação com 2024, adversários ligados à DPRK realizaram menos campanhas, mas obtiveram retornos significativamente maiores ao priorizar alvos de alto valor.”

Essas conclusões surgem num momento em que o panorama de ameaças indica uma maturação das operações ligadas à DPRK, com investigadores apontando para um conjunto de ferramentas em expansão que combina intrusão tradicional com engenharia social e compromissos ao estilo cadeia de suprimentos. O relatório também enfatiza que a disposição do grupo em explorar fraquezas em empresas de criptografia — desde equipas de projeto até às bolsas — ilustra uma estratégia de alvo amplo que visa maximizar tanto o acesso quanto as oportunidades de monetização.

Por que Web3 e bolsas continuam a ser pontos focais

A discussão de segurança de quarta-feira sobre atores da DPRK centra-se na economia do roubo de criptomoedas. O relatório observa que carteiras de alto valor e bolsas centralizadas oferecem maior liquidez e rotas de saída mais rápidas, o que reduz o tempo que os fundos permanecem expostos a riscos de rastreamento e apreensão. Nesse sentido, a atração de projetos Web3 e plataformas de criptomoedas não se resume ao roubo, mas à capacidade de converter ativos roubados em moeda utilizável com menos atrito do que as vias financeiras tradicionais.

Para além dos roubos diretos, o ecossistema mais amplo deve estar atento a estratégias evolutivas de engenharia social destinadas a explorar as redes de confiança em torno de protocolos em desenvolvimento e processos de governança. À medida que o modelo de ameaça se torna mais sofisticado, a importância de práticas de segurança robustas — como gestão rigorosa de riscos de fornecedores, revisão de código e autenticação resistente a phishing — torna-se ainda mais urgente para construtores e operadores no espaço cripto.

Infiltração, online e offline: incidentes notáveis

Em abril, a Fundação Ethereum, responsável pelo desenvolvimento do Ethereum, alertou publicamente sobre a escala de envolvimento da DPRK em intrusões Web3, identificando um grupo substancial de operativos apoiados pela DPRK que infiltraram vários projetos de criptomoedas. A implicação é que o grupo mantém acesso persistente e multifacetado aos ecossistemas-alvo, combinando intrusões remotas com networking presencial para ampliar a influência.

Um episódio amplamente citado envolve o Drift Protocol, uma bolsa descentralizada, onde atacantes supostamente infiltraram e comprometeram ambientes de desenvolvimento após estabelecerem relações com a equipa do projeto. A equipa do Drift Protocol relatou que os atacantes foram apresentados ao projeto durante uma conferência importante da indústria cripto e cultivaram uma relação de trabalho ao longo de seis meses. Durante esse período, malware foi implantado contra máquinas de desenvolvedores, contribuindo para perdas de aproximadamente 280 milhões de dólares. A liderança do Drift destacou que os indivíduos que apareceram pessoalmente não eram nacionais da Coreia do Norte, mas observaram que atores da DPRK frequentemente dependem de intermediários de terceiros para facilitar contactos presenciais.

A narrativa mais ampla sobre reconhecimento offline e recrutamento presencial é reforçada por observações de outros setores, incluindo relatórios de trabalhadores de TI da Coreia do Norte que interagem com empresas de tecnologia e utilizam canais legítimos de emprego para facilitar atividades ilícitas. Pesquisadores como ZachXBT destacaram casos em que trabalhadores de TI ligados à DPRK ganharam somas substanciais mensalmente em esquemas relacionados, evidenciando a natureza transversal da ameaça tanto online quanto offline.

Para investidores, construtores e operadores, esses incidentes sinalizam uma corrida armamentista contínua entre atores de ameaça e as equipes de segurança que protegem plataformas cripto. O episódio do Drift, em particular, demonstra como pontos de apoio de atacantes podem ser plantados através de canais de desenvolvimento confiáveis, transformando cadeias de fornecimento de software essenciais em vetores de perdas elevadas. O aviso mais amplo é claro: mesmo interações comunitárias aparentemente confiáveis e envolvimento de terceiros podem tornar-se superfícies de risco se a devida diligência e higiene de segurança não forem rigorosamente mantidas.

O que vem a seguir para o mercado e a estratégia de defesa

À medida que o panorama de ameaças se cristaliza em torno de operações apoiadas pela DPRK, os participantes do mercado devem esperar uma ênfase contínua no roubo de alto valor e em técnicas sofisticadas de monetização. Reguladores, empresas de segurança e equipas de plataformas provavelmente reforçarão os controles de governança, a segurança da cadeia de suprimentos e o monitoramento aprimorado dos fluxos na cadeia associados a carteiras e entidades ligadas à DPRK. A convergência de intrusões cibernéticas, engenharia social e estratégias de roubo de alto retorno aponta para um risco persistente e dinâmico que testará a resiliência da infraestrutura cripto e dos programas de conformidade.

No futuro, os observadores deverão acompanhar divulgações mais detalhadas de empresas de inteligência de ameaças e operadores de plataformas sobre os padrões operacionais dos atores da DPRK, incluindo quaisquer novas contramedidas que consigam interromper os canais mais lucrativos. A identificação de centenas de operativos apoiados pela DPRK pela Fundação Ethereum e as reflexões pós-incidente do Drift Protocol podem antecipar uma maior transparência e defesa proativa em todo o ecossistema. Para os leitores, a questão-chave permanece: quão rapidamente a indústria pode traduzir esses insights em melhorias concretas de segurança que reduzam tanto a frequência quanto o impacto de futuras violações.

À medida que o ano avança, a comunidade cripto precisará monitorar tanto as respostas de governança quanto as salvaguardas técnicas. Investidores e utilizadores devem manter vigilância em relação a auditorias de segurança de projetos, proteções de computação multipartida e planos de resposta a incidentes robustos — áreas onde o custo da inação pode ser medido em milhões de dólares, além de possíveis danos à reputação duradouros.

Este artigo foi originalmente publicado como Coreia do Norte: Perdas em Criptomoedas Aumentam 51% em 2025, Segundo Relatório na Crypto Breaking News – sua fonte confiável de notícias de cripto, notícias de Bitcoin e atualizações de blockchain.