# Operation AppleJeus > [!danger] Lazarus Group roubou US$ 6 bilhoes em cripto via apps de trading trojanizados - ativo desde 2018 > A Operation AppleJeus e uma campanha de longa duracao do [[g0032-lazarus-group|Lazarus Group]] (DPRK), ativa desde 2018, que roubo criptoativos de exchanges, traders e investidores globalmente - incluindo no Brasil - via aplicativos de trading falsos com malware embutido. O Lazarus acumulou mais de US$ 6 bilhoes em criptos, financiando diretamente o programa nuclear e de misseis norte-coreano. ## Visão Geral A **Operation AppleJeus** representa a operação de roubo de criptoativos mais lucrativa e longeva do mundo, conduzida pelo [[g0032-lazarus-group|Lazarus Group]] (vinculado ao Reconnaissance General Bureau, RGB, da Coreia do Norte) desde 2018. A campanha foi descoberta pela Kaspersky GReAT em 2018 e documentada extensamente em advisory conjunto CISA/FBI/Treasury **AA21-048A**, confirmando o Brasil entre os paises afetados. O modelo operacional e sofisticado e multivariante: o grupo cria **empresas ficticias convincentes de trading de criptomoedas** com sites profissionais, presenca em redes sociais e historico fabricado, e distribui aplicativos de trading trojanizados para Windows e macOS que sao funcionais em aparencia mas contem o [[g1049-applejeus|AppleJeus]] embutido. A operação evoluiu continuamente: de aplicativos desktop (2018-2019) para compromisso de supply chain de npm (2020-2021), abordagens via LinkedIn com falsas oportunidades de emprego (2022-2023), e ataques a protocolos DeFi e bridges cross-chain (2024-2025). Esta evolução reflete a capacidade de adapticao do grupo a medida que o ecossistema cripto muda. O impacto financeiro e geopolitico e direto: com US$ 6 bilhoes+ em criptoativos roubados desde 2017, o [[g0032-lazarus-group|Lazarus Group]] e a principal fonte de financiamento externo do programa nuclear e de misseis balisticos da Coreia do Norte. Cada exchange ou investidor vitimado contribui indiretamente para a proliferacao de armas de destruicao em massa. Para o Brasil, com um ecossistema cripto em crescimento acelerado - mais de 10 milhões de investidores em criptoativos - e exchanges como Mercado Bitcoin, Foxbit e Binance.BR, a Operation AppleJeus representa ameaça direta e ativa ao setor financeiro digital nacional. ## Attack Flow - Operation AppleJeus ```mermaid graph TB A["🏢 Empresa Ficticia de Trading<br/>Site profissional + social media"] --> B["📦 App de Trading Trojanizado<br/>Windows/macOS - funcional + malicioso"] B --> C["🔍 Verificação Anti-Sandbox<br/>Sistema, email, IP triados"] C --> D["⬇ Backdoor do C2<br/>AppleJeus/Manuscrypt/Copperhedge"] D --> E["💻 Controle Remoto Total<br/>Carteiras de cripto identificadas"] E --> F["💸 Roubo de Cripto<br/>US$6 bi+ roubados desde 2017"] classDef social fill:#2a1a3a,color:#ccaaff,stroke:#9b59b6 classDef tech fill:#1a2a3a,color:#aaccff,stroke:#2980b9 classDef impact fill:#5a2a1a,color:#ffcc88,stroke:#e67e22 class A,B social class C,D tech class E,F impact ``` ## Resumo Operacional O modelo operacional central da Operation AppleJeus é a **criação de empresas fictícias de trading de criptomoedas** com presença online convincente - sites profissionais, contas em redes sociais, e por vezes até registros corporativos americanos legítimos. Essas empresas distribuem aplicativos de trading que funcionam de forma genuína enquanto, em paralelo, executam funcionalidades maliciosas. A vítima instala voluntariamente o malware, acreditando ser um software de mercado legítimo. ## Empresas Fictícias Criadas (2018-2024) | Empresa | Período | Plataforma | Observação | |---------|---------|------------|------------| | **Crypviser** | 2018 | Windows, macOS | Primeira empresa fictícia - descoberta pela Kaspersky | | **Ants2Whale** | 2019 | Windows, macOS | Segunda geração - com canais Telegram | | **Kupay** | 2019 | Windows | Variante sequência | | **CoinGoTrade** | 2020-2021 | Windows | Documentada no CISA AA21-048A | | **Dorusio** | 2020-2021 | Windows | Documentada no CISA AA21-048A | | **JMTTrading / UnionCryptoTrader** | 2021-2022 | Windows, macOS | Cluster TraderTraitor | | **DAFOM** | 2022 | macOS | Electron app com certificado Apple revogado | | **BloxHolder** | Jun-Out 2022 | Windows | Clone da HaasOnline; lures via Office docs | | **Blocknovas LLC** | 2024+ | Windows, macOS | Empresa americana fictícia legalmente registrada | | **Softglide LLC** | 2024+ | Windows | Segunda empresa americana fictícia registrada | O FBI sequestrou o domínio Blocknovas em 2024 - primeira instância de takedown de uma empresa fictícia do Lazarus registrada nos EUA. ## Evolução da Operação (2018-2024) ### 2018 - Origem e Primeiro macOS A Kaspersky GReAT identificou o AppleJeus como o **primeiro malware macOS do Lazarus** em 2018. A lógica era simples: usuários de Mac eram vistos como financeiramente mais favorecidos e com mais probabilidade de possuir criptoativos de alto valor. **Estrutura do ataque (2018):** 1. Vítima visita site falso de trading → baixa instalador 2. Instalador implanta app legítimo de trading + downloader malicioso 3. Downloader verifica sistema (anti-sandbox) → busca backdoor do C2 4. Backdoor (FALLCHILL/Manuscrypt) fornece controle remoto completo ### 2019 - Sequência com Canais Telegram - Aprimoramento de evasão: macOS exige "autenticação" do usuário (email/senha) antes de entregar payload - dados de autenticação enviados ao C2 para triagem de vítimas - Windows verificava valores do sistema antes de executar payload - Distribuição expandida via canais Telegram de empresas fictícias ### 2021 - Advisory CISA e Expansão Global O **CISA AA21-048A** (fevereiro 2021, atualizado abril) documentou: - 7 variantes distintas do AppleJeus (versões 1-7) - Alvos em 30+ países incluindo EUA, UK, Polônia, Rússia, China - Expansão para setores de governo, energia e telecomúnicações além do financeiro - Alerta: **qualquer organização usando software de trading de criptomoedas deve verificar procedência** ### 2022 - Documentos Office e DLL Side-Loading Encadeado **BloxHolder (2022) - Evolução Técnica:** - Distribuição via documentos Microsoft Office com macros (além de MSIs) - DLL side-loading encadeado: `CameraSettingsUIHost.exe` → `dui70.dll` → `DUser.dll` malicioso - Ofuscação pesada com criptografia customizada de strings e chamadas de API - Clone perfeito do site HaasOnline para máxima credibilidade **TraderTraitor (macOS, 2020-2022):** - Apps Electron assinados com certificados Apple revogados - `UpdateCheckSync()` em Node.js exfiltra dados de usuário para C2 - Descriptografia AES-256-CBC de payloads (RAT COPPERHEDGE, Manuscrypt) - Pivot para alvos NFT e DeFi ### 2023-2024 - LinkedIn, npm e Supply Chain - Lures via **LinkedIn** - recrutadores falsos abordando desenvolvedores de blockchain - Pacotes **npm trojanizados** como vetor inicial para desenvolvedores - **Blocknovas LLC e Softglide LLC** - empresas americanas legalmente registradas usadas como fachada - Integração com [[operation-dreamjob|Operation DreamJob]] - sobreposição de técnicas e infraestrutura - Ligação com o [[bybit-heist-2025|Bybit Heist 2025]] via cadeia de lavagem (OTC brokers, Tron) ## Impacto no Brasil e LATAM A América Latina representa um mercado crescente de criptomoedas com infraestrutura de segurança ainda em maturação. O Brasil possui um dos maiores volumes de trading de cripto da região (Mercado Bitcoin, Foxbit), tornando-se alvo natural para campanhas como a AppleJeus. O advisory CISA confirma vítimas em múltiplos continentes, com América Latina incluída no escopo global. ## Financiamento do Programa de Armas da DPRK Inteligência americana e análise blockchain confirmam que os recursos roubados: - Financiam diretamente o programa de desenvolvimento de mísseis balísticos da DPRK - São lavados via exchanges sem KYC, *mixers* e OTC brokers na Ásia - Representam componente significativo do orçamento de divisas estrangeiras do regime ## Mapeamento MITRE ATT&CK | Tática | Técnica | |--------|---------| | Acesso Inicial | T1566 Phishing, T1195.002 Supply Chain Compromise | | Execução | T1204 User Execution, T1059 Command/Scripting Interpreter | | Persistência | T1053.005 Scheduled Task, T1547.001 Registry Run Key | | Evasão | T1027 Obfuscated Files, T1574.002 DLL Side-Loading | | Coleta | T1056 Input Capture (keylogging), T1539 Steal Web Session Cookie | | Exfiltração | T1041 Exfiltration Over C2 | - [[g0032-lazarus-group|Lazarus Group]] - [[g1049-applejeus]] - [[citrine-sleet|Citrine Sleet]] - [[bybit-heist-2025|Bybit Heist 2025]] - [[operation-dreamjob|Operation DreamJob]] - [[cryptocurrency|criptomoedas]] - [[t1566-phishing|T1566 - Phishing]] - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] ## Relevância LATAM/Brasil O Brasil representa um dos maiores mercados de criptomoedas da América Latina, com exchanges como Mercado Bitcoin, Foxbit e Binance BR com milhões de usuários. O [[g0032-lazarus-group|Lazarus Group]] confirmou alvos em múltiplos continentes, com América Latina incluída no escopo global do advisory CISA AA21-048A. Usuários brasileiros que baixaram aplicativos de trading de empresas desconhecidas - especialmente via links do Telegram, LinkedIn ou e-mail não solicitado - podem ter sido comprometidos. Exchanges e fintech brasileiras devem verificar se receberam tentativas de contato de supostas empresas de trading ou recrutadores suspeitos como indicador de campanha ativa. ## Referências - Kaspersky GReAT: "Lazarus Enhances Capabilities in AppleJeus Cryptocurrency Attack" (Descoberta inicial, 2018) - CISA Alert AA21-048A: "AppleJeus - Analysis of North Korea's Cryptocurrency Malware" (Fevereiro/Abril 2021) - FBI/CISA/Treasury Alert AA22-108A: "TraderTraitor - North Korean State-Sponsored APT Targets Blockchain Companies" (Abril 2022) - Volexity: "Buyer Beware: Fake Cryptocurrency Applications - BloxHolder" (Dezembro 2022) - MITRE ATT&CK: G0032 Lazarus Group - Operation AppleJeus