# TraderTraitor Campaign > [!critical] Lazarus Group usa apps de trading criptomoeda trojanizados para roubar ativos digitais - ativo desde 2020 > O **TraderTraitor** e a designacao do governo americano para um cluster de atividade cibernetica patrocinada pela Coreia do Norte, atribuido ao [[g0032-lazarus-group|Lazarus Group]] e seus subgrupos (APT38, BlueNoroff, Stardust Chollima). A campanha usa engenharia social via LinkedIn e Telegram para convencer funcionarios de empresas de criptomoeda a baixar aplicativos de trading trojanizados - comprometendo redes corporativas e iniciando transações blockchain fraudulentas. TraderTraitor foi ligado ao [[bybit-heist-2025|Bybit Heist de US$ 1,5 bilhao]] (2025) e ao ataque ao DMM Bitcoin de US$ 308 milhões (2024). ## Visão Geral O **TraderTraitor Campaign** foi formalmente documentado por um advisory conjunto do FBI, CISA e Departamento do Tesouro americano em abril de 2022 (AA22-108A), que o descreveu como um cluster de atividade de APT norte-coreana direcionada ao ecossistema de blockchain e criptomoedas. Os grupos rastreados pela industria como [[g0032-lazarus-group|Lazarus Group]], APT38, BlueNoroff e Stardust Chollima sao todos considerados parte da mesma estrutura operacional sob o Reconnaissance General Bureau (RGB) da Coreia do Norte. O nome "TraderTraitor" refere-se específicamente a serie de aplicativos maliciosos escritos em JavaScript cross-plataforma usando o runtime Node.js com o framework Electron - aplicativos que se apresentam como ferramentas de trading ou previsao de precos de criptomoedas. A tecnologia Electron permite que o mesmo aplicativo rode em Windows e macOS, ampliando o alcance dos ataques. A evolução da campanha reflete a sofisticacao crescente do grupo: de aplicativos de trading simples (2020-2021) para comprometimentos de cadeia de suprimentos via npm/PyPI (2023), ataques ao JumpCloud para atingir downstream clientes cripto (2023), e eventualmente o comprometimento da infraestrutura da [[safe-wallet|Safe Wallet]] que culminou no [[bybit-heist-2025|Bybit Heist de US$ 1,5 bilhao]] em fevereiro de 2025. ## Attack Flow ```mermaid graph TB A["Lure via LinkedIn/Telegram<br/>Oferta de emprego falsa<br/>ou app de trading 'exclusivo'"] --> B["Download do App Trojanizado<br/>Electron.js Windows/macOS<br/>App funcional + UpdateCheckSync"] B --> C["Execução do Payload<br/>UpdateCheckSync() HTTP POST<br/>Decriptografia AES-256-CBC"] C --> D["Implante Manuscrypt/COPPERHEDGE<br/>RAT com controle total<br/>Coleta de dados do sistema"] D --> E["Identificação de Carteiras<br/>Private keys, seed phrases<br/>Credenciais de exchanges"] E --> F["Transacoes Fraudulentas<br/>Transferencia de ativos<br/>Lavagem via mixers/OTC"] ``` ## Cronologia ```mermaid timeline title TraderTraitor - Evolução da Campanha 2020-01 : Primeiras atividades identificadas - apps Electron maliciosos 2022-03 : Ronin Network (Axie Infinity) comprometido - US$ 620 milhoes 2022-04 : FBI/CISA/Treasury publicam advisory AA22-108A 2022-10 : Harmony Horizon Bridge - US$ 100 milhoes roubados 2023-06 : Compromisso JumpCloud - atingiu downstream clientes cripto 2023-10 : Pacotes npm maliciosos em repositorios publicos identificados 2024-05 : DMM Bitcoin - US$ 308 milhoes - FBI atribui ao TraderTraitor 2025-02 : Bybit Heist - US$ 1,5 bilhao - maior roubo de cripto da historia ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | PDFs de oferta de emprego, links para apps trojanizados | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vitima instala voluntariamente o app de trading | | Resource Development | Compromise Software Dependencies | [[t1195-001-supply-chain-compromise\|T1195.001]] | Pacotes npm/PyPI maliciosos para devs blockchain | | Initial Access | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | JumpCloud e Safe Wallet comprometidos indiretamente | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Webpack bundling, criptografia AES-256-CBC de payloads | | Defense Evasion | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | Carregamento de DLL maliciosa via app legitimo | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2\|T1041]] | Chaves privadas e credenciais exfiltradas via HTTPS | ## Aplicativos Trojanizados Identificados | App | Período | Plataforma | Pretexto | |-----|---------|------------|---------| | DAFOM | 2022 | macOS | Portfolio de criptomoedas | | TokenAIS | 2022 | macOS | Trading com IA | | Esilet | 2022 | macOS | Trading profissional | | CryptAIS | 2022 | Windows/macOS | Ferramenta de análise | | Blocknovas LLC app | 2024+ | Windows/macOS | Empresa americana ficticia legalmente registrada | | Softglide LLC app | 2024+ | Windows | Segunda empresa americana ficticia | ## Casos Notaveis Atribuidos - **Ronin Network (2022)** - US$ 620 milhões - Axie Infinity; funcionario comprometido via LinkedIn - **Harmony Horizon Bridge (2022)** - US$ 100 milhões - compromisso via engenharia social - **Atomic Wallet (2023)** - US$ 35 milhões - ataque direto a carteiras de usuarios - **Alphapo/CoinsPaid (2023)** - US$ 100+ milhões - compromisso de processadores de pagamento cripto - **DMM Bitcoin (2024)** - US$ 308 milhões - maior hack de exchange jáponesa - **[[bybit-heist-2025|Bybit Heist]] (2025)** - US$ 1,5 bilhao - maior roubo de cripto da historia ## Relevância LATAM e Brasil O Brasil possui um dos maiores mercados de criptomoedas da América Latina, com mais de 10 milhões de investidores e exchanges como Mercado Bitcoin, Foxbit e Binance BR. O TraderTraitor representa ameaça direta e ativa ao ecossistema brasileiro por varios motivos: desenvolvedores blockchain e de fintech brasileiros sao alvos atrativos via LinkedIn, pois trabalham com frameworks e linguagens identicos (Node.js, Solidity, Rust); exchange brasileiras conectadas a exchanges internacionais comprometidas podem sofrer impacto indireto; e investidores individuais com carteiras de alto valor sao alvos do mesmo modelo de engenharia social. O advisory CISA AA22-108A confirma que a campanha teve alcance global - o Brasil esta explicitamente no escopo geografico. Profissionais de blockchain e cripto no Brasil devem tratar ofertas de emprego via LinkedIn ou Telegram com suspeita maxima, especialmente se envolvem download de software. ## Mitigação **Para exchanges e empresas de blockchain:** - Implementar politica estrita de verificação de software antes de instalacao em estacoes de trabalho - Treinar equipes de DevOps para identificar ofertas de emprego falsas e apps suspeitos - Monitorar via [[m1031-network-intrusion-prevention|M1031]] - conexoes HTTPS saintes para dominios nao catalogados - Adotar hardware wallets e MFA resistente a phishing para operações de alto valor **Para investidores individuais:** - NUNCA baixar aplicativos de trading de fontes nao verificadas (Telegram, Discord, links de email) - Verificar origem e certificados de apps macOS/Windows antes de instalar - Usar hardware wallet (Ledger, Trezor) para ativos de alto valor ## Referências - [1](https://www.ic3.gov/CSA/2022/220418.pdf) FBI/CISA/Treasury - AA22-108A TraderTraitor Advisory (2022) - [2](https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist) Wiz Research - TraderTraitor Deep Dive (2025) - [3](https://www.ic3.gov/media/news/2022/220418.pdf) IC3 - TraderTraitor North Korean State-Sponsored APT (2022) - [4](https://industrialcyber.co/threats-attacks/north-koreas-state-sponsored-apt-tradertraitor-targets-blockchain-technology-cryptocurrency-industry/) Industrial Cyber - TraderTraitor Targets Blockchain Industry (2022) - [5](https://www.secureworld.io/industry-news/lazarus-targeting-cryptocurrency) SecureWorld - CISA Warning: Lazarus Targeting Cryptocurrency (2022)