Hackers norte-coreanos roubaram um recorde de US$ 2 bilhões em criptomoedas em 2025, diz Chainalysis

Hackers norte-coreanos roubaram pelo menos US$ 2 bilhões em criptomoedas neste ano, o maior valor registrado, elevando o total acumulado da República Popular Democrática da Coreia (RPDC) para US$ 6,75 bilhões, de acordo com um novo relatório da Chainalysis.

O número representa um aumento de 51% em relação a 2024, resultante de um menor número de incidentes confirmados. Os dados destacam uma mudança rumo a ataques menos frequentes, porém drasticamente maiores, sustentados pelo de março.Hack de US$ 1,4 bilhão na Bybit.

Em contraste com outros cibercriminosos, os grupos norte-coreanos têm como alvo predominantemente grandes serviços de crypto centralizados, visando o impacto máximo em vez da frequência, afirmou o relatório. Atores ligados à RPDC foram responsáveis por 76% de todas as violações em nível de serviço em 2025, o maior número já registrado.

A forma como eles lavam o dinheiro também se destaca. Enquanto outros hackers tendem a distribuir fundos roubados em grandes transferências on-chain, os atores da RPDC trabalham consistentemente com parcelas menores abaixo de $500.000, um sinal de segurança operacional cada vez mais sofisticada.

As carteiras vinculadas à RPDC mostram uma forte dependência de serviços de garantia em língua chinesa, corretores e redes de balcão, bem como um uso extensivo de pontes e serviços de mistura. Elas evitam, em grande parte, os protocolos de empréstimos DeFi, as exchanges descentralizadas e as plataformas peer-to-peer preferidas por outros criminosos. Esses padrões sugerem restrições estruturais e uma dependência de facilitadores regionais específicos, em vez de um acesso amplo à infraestrutura financeira global.

No início deste ano, a CoinDesk reportou sobre como a Coreia do Norte está agora utilizando IA como uma "superpotência" em seus esforços de hacking.

"A Coreia do Norte facilita a lavagem dos seus roubos em criptomoedas com consistência e fluidez indicativas do uso de IA", afirmou Andrew Fierman, chefe de inteligência de segurança nacional da Chainalysis, ao CoinDesk. "

"O mecanismo pelo qual a lavagem de dinheiro é estruturada, e a escala em que é realizada, cria um fluxo de trabalho que combina mixers, protocolos DeFi e pontes desde os estágios iniciais do processo de lavagem para converter fundos entre diversos ativos cripto," disse ele. "Para executar esse tipo de eficácia em roubar volumes tão grandes de criptomoedas, a Coreia do Norte precisa de uma grande rede de lavagem, juntamente com mecanismos otimizados para facilitar essa lavagem, que provavelmente se apresentam na forma do uso de IA."

Análise da atividade pós-hack revela que os principais roubos norte-coreanos geralmente ocorrem ao longo de uma janela de lavagem de aproximadamente 45 dias, passando por fases distintas desde a obfuscação imediata até a integração final, afirmou a Chainalysis. Embora não seja universal, a consistência dessa linha do tempo ao longo de vários anos fornece informações valiosas para equipes de aplicação da lei e de conformidade que buscam interceptar fundos roubados antes que sejam totalmente sacados.

Ao mesmo tempo, o panorama mais amplo dos furtos está mudando. Os comprometimentos de carteiras pessoais representaram 20% do valor total roubado em 2025, uma queda em relação a 44% no ano passado. Embora o número de incidentes tenha aumentado para 158.000, o valor em dólares retirado de vítimas individuais caiu 52%, para US$ 713 milhões. Os dados sugerem que os atacantes estão mirando mais usuários, mas roubando menos de cada um.

À medida que o ano chega ao fim, os esforços de hacking em criptomoedas da Coreia do Norte não mostram sinais de diminuição, e as conclusões do relatório indicam um ambiente de ameaças cada vez mais polarizado: furtos em massa de baixo valor de indivíduos em uma extremidade, e raras, porém catastróficas, violações a nível de serviço na outra, com a Coreia do Norte firmemente no centro destas últimas.