# Citrine Sleet **Citrine Sleet** é um subgrupo altamente especializado do [[g0032-lazarus-group|Lazarus Group]], atribuído à Coreia do Norte e rastreado pela Microsoft sob a designação **UNC4736** pela Mandiant. O grupo opera desde pelo menos 2018 com foco exclusivo no roubo de criptomoedas e ativos digitais, sendo responsável por perdas de **bilhões de dólares** no ecossistema DeFi e de exchanges ao redor do mundo. > [!danger] Maior Roubo de Criptomoeda da História > O Citrine Sleet executou o **Bybit Heist de fevereiro de 2025** - US$ 1,5 bilhão em ETH roubados via ataque à cadeia de suprimentos do Safe{Wallet}. O grupo é responsável por mais de **US$ 3 bilhões** em cripto roubados desde 2017, financiando o programa de armas norte-coreano. > [!warning] Ameaça Ativa ao Ecossistema Cripto > O Citrine Sleet mantém operações ativas, mirando exchanges, protocolos DeFi e desenvolvedores de software cripto. A engenharia social via empresas fictícias e "processos seletivos" falsos continua sendo o vetor inicial mais eficaz. ## Perfil Operacional O grupo se diferencia dos demais subgrupos do [[g0032-lazarus-group|Lazarus Group]] pela especialização técnica e temática: todas as operações documentadas visam o roubo de criptomoedas, sejá via comprometimento de exchanges, exploração de protocolos DeFi ou ataques à cadeia de suprimentos de software voltado ao setor cripto. O Citrine Sleet desenvolveu e distribui o [[g1049-applejeus]], um falso software de trading de criptomoedas que infecta vítimas interessadas em ferramentas de investimento. A engenharia social empregada é altamente sofisticada, incluindo a criação de empresas fictícias de criptomoedas com sites, perfis no LinkedIn e até "processos seletivos" falsos. ## Bybit Heist 2025 O ataque ao **Bybit** em fevereiro de 2025 representa o maior roubo de criptomoeda da história, com aproximadamente **US$ 1,5 bilhão** em ETH e ativos derivados subtraídos. O vetor inicial foi um ataque à cadeia de suprimentos ([[t1195-002-supply-chain-compromise|T1195.002 - Compromise Software Supply Chain]]) envolvendo o comprometimento do Safe{Wallet}, solução de carteira multi-sig utilizada pela exchange. O [[bybit-heist-2025|Bybit Heist 2025]] demonstrou a capacidade do grupo de executar operações de intrusão de altíssima complexidade, comprometendo múltiplos elos da cadeia de fornecimento de software antes de atingir o alvo final. ## Arsenal Técnico O arsenal do Citrine Sleet inclui o [[g1049-applejeus]] (trojanized trading software para macOS e Windows), o [[pondrat]] (backdoor Python), o [[cookieplus]] (plugin malicioso para comprometimento de browsers) e a família [[dreamloaders]]. O grupo utiliza intensamente técnicas de engenharia social ([[t1566-phishing|T1566 - Phishing]]), execução via interação do usuário ([[t1204-user-execution|T1204 - User Execution]]) e ataques à cadeia de suprimentos ([[t1195-002-supply-chain-compromise|T1195.002 - Compromise Software Supply Chain]]) como vetores de entrada. Pós-comprometimento, emprega interpreters de script ([[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]]) para movimento lateral e exfiltração. ## Impacto no Ecossistema Cripto Além do [[bybit-heist-2025|Bybit Heist 2025]], o grupo é associado a dezenas de ataques contra exchanges e protocolos DeFi, incluindo o hack do Ronin Network (Axie Infinity, 2022 - US$ 620M) e ataques contra a Harmony Horizon Bridge (2022 - US$ 100M). Analistas estimam que o Citrine Sleet e subgrupos associados do [[g0032-lazarus-group|Lazarus Group]] roubaram mais de **US$ 3 bilhões** em criptoativos entre 2017 e 2025, recursos utilizados para financiar o programa de armamentos da Coreia do Norte. ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|-----|-----| | Spearphishing / Engenharia Social | [[t1566-phishing\|T1566]] | Empresas fictícias de cripto, processos seletivos falsos | | User Execution | [[t1204-user-execution\|T1204]] | Vítima instala trading software trojanizado (AppleJeus) | | Command and Scripting Interpreter | [[t1059-command-scripting-interpreter\|T1059]] | Pós-comprometimento para C2 e movimento lateral | | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Bybit Heist via Safe{Wallet} comprometido | ## Detecção e Defesa **Indicadores de comprometimento:** - Binários de "trading software" não assinados por desenvolvedores legítimos - Conexões de rede para infraestrutura C2 de IP/domínio incomum pós-instalação de app cripto - Processos com comportamento de backdoor após instalação de ferramentas de investimento **Mitigações para exchanges e desenvolvedores cripto:** - Verificar assinaturas de código em todos os binários de trading software antes da instalação - Implementar [[m1017-user-training\|M1017 - Treinamento de Usuários]] com foco em engenharia social via LinkedIn e processos seletivos - Adotar autenticação multifator via hardware (YubiKey) para acesso a sistemas de custódia - Monitorar desvios em comportamento de carteiras multi-sig e aprovações de transações atípicas ## Relevância para o Brasil e LATAM O Citrine Sleet representa uma ameaça direta para o Brasil devido à forte presença de exchanges de criptomoedas brasileiras e ao crescimento do ecossistema DeFi no país. Desenvolvedores de software cripto brasileiros são alvos potenciais de engenharia social via empresas fictícias de trading. A operação [[bybit-heist-2025|Bybit Heist 2025]] demonstrou que o grupo é capaz de comprometer exchanges internacionais que operam com clientes brasileiros, afetando diretamente a segurança de ativos de cidadãos brasileiros. O Brasil deve elevar vigilância sobre IoCs associados ao AppleJeus falso e monitorar tentativas de recrutamento fraudulento direcionadas a desenvolvedores locais. > [!danger] Ameaça Crítica a Exchanges Cripto > O Citrine Sleet é responsável pelo **maior roubo de criptomoeda da história** - US$ 1,5 bilhão do Bybit em 2025. O grupo alvo exchanges que possuem clientes brasileiros. A engenharia social sofisticada e o desenvolvimento de malware customizado exigem treinamento contínuo de segurança para desenvolvedores cripto brasileiros. ## Referências - MITRE ATT&CK: G1039 - Citrine Sleet - Microsoft Threat Intelligence (2024) - [[g0032-lazarus-group|Lazarus Group]] - [[g0138-andariel|Andariel]] - [[g0032-lazarus-group|Diamond Sleet]] - [[g0094-kimsuky|Kimsuky]] - [[operation-applejeus|Operation AppleJeus]] - [[bybit-heist-2025|Bybit Heist 2025]] - [[financial]] - [[criptomoeda]] ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.