# Lazarus Group > [!warning] **Lazarus Group** é um grupo de ameaça atribuído a **North Korea** ativo desde **2009**. ## Perfil **Lazarus Group** e o principal grupo de ameaça cibernetica da Coreia do Norte, operando sob o **Reconnaissance General Bureau (RGB)** - a agencia de inteligência e operações ciberneticas do regime de Kim Jong-un. Ativo desde pelo menos 2009, o grupo e responsavel por algumas das operações mais destructivas e lucrativas da historia da cibersegurança. **Visão geral:** - Origem: Coreia do Norte - RGB (Reconnaissance General Bureau) - Motivacao dual: espionagem estratégica (defesa, governo, tecnologia nuclear) e financeira (roubo de criptomoedas para burlar sancoes internacionais) - Período: 2009 até o presente - grupo mais longevamente ativo e prolífico da DPRK - Roubo total de criptomoedas: mais de **US$ 6,75 bilhoes** acumulados historicamente - Relevância para LATAM: moderada - exchanges e plataformas DeFi usadas por brasileiros sao alvos potenciais **Descrição:** O Lazarus Group e descrito frequentemente como um "guarda-chuva" para múltiplas unidades de operações ciberneticas norte-coreanas que compartilham pessoal, infraestrutura, malware e técnicas. O grupo combina espionagem estatal de alto valor com roubo financeiro sistematico - necessário para contornar sancoes que impedem o regime de acessar o sistema financeiro global. Com mais de US$ 3,4 bilhoes roubados somente em 2024, a DPRK industrializou o roubo de criptomoedas como mecanismo de financiamento estatal. ## Attack Flow ```mermaid graph TB A["Spearphishing<br/>LinkedIn / PDF"] --> B["Trojanized App<br/>AppleJeus / NPM"] B --> C["DLL Side-Loading<br/>Custom Loaders"] C --> D["Backdoor Deploy<br/>MagicRAT / Dtrack"] D --> E["Credential Harvest<br/>Wallet Keys"] E --> F["Lateral Movement<br/>SSH / RDP"] F --> G["Crypto Theft<br/>Exchange Drain"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D,E laranja class F,G azul ``` **Legenda:** Spearphishing via ofertas de emprego falsas no LinkedIn ou apps trojanizados (AppleJeus) levam a implantes customizados que roubam chaves de carteiras cripto e drenam exchanges - cadeia usada no Bybit Heist (US$ 1,5B) e DMM Bitcoin (US$ 305M). ## Campanhas Recentes (2024-2026) ### Bybit Heist - Fevereiro 2025 (US$ 1,5 Bilhão) Em **21 de fevereiro de 2025**, o Lazarus Group (subgrupo TraderTraitor) executou o **maior roubo de criptomoedas da historia**, superando qualquer operação financeira cibernetica anterior: **Como ocorreu:** 1. Comprometimento do sistema da **Safe{Wallet}** (provedor de carteiras multi-sig) 2. Substituicao de JavaScript legitimo por código malicioso que alterava destinos de transações ETH 3. Direcionamento seletivo a carteiras de funcionarios da **Bybit** (exchange global) 4. Desvio de **US$ 1,5 bilhao em ETH** para carteiras controladas pela DPRK **Laundering (lavagem):** Os fundos foram lavados via: - Carteiras intermediarias rotativas - Exchanges descentralizadas (DEXs) - Cross-chain bridges (pontes entre blockchains) - Redes OTC chinesas ("Chinese Laundromat") **Contexto:** Este único evento superou o total combinado de todos os roubos cripto norte-coreanos de 2023 (US$ 660,5 milhões em 20 incidentes). ### DMM Bitcoin Heist - Maio 2024 (US$ 305 Milhões) Comprometimento da exchange jáponesa DMM Bitcoin via API manipulation e controle de credentials de desenvolvedor, resultando em roubo de US$ 305 milhões - operação atribuida ao subgrupo TraderTraitor. ### Operation DreamJob - Continua (2020-2026) Campanha de engenharia social continua que usa **ofertas falsas de emprego no LinkedIn** para comprometer profissionais de tecnologia, defesa e aeroespacial: **Evolução em 2024-2025:** - Foco em **fabricantes de drones (UAVs)** e empresas de pecas aeronauticas - Alvos confirmados em **Portugal, Alemanha, Italia, Polonia, Reino Unido** - profissionais de engenharia aeroespacial e defesa - Objetivo: roubo de tecnologia proprietaria de drones enquanto a DPRK desenvolve seu programa de UAVs militares (com conexão a operações na Russia) - Ferramentas: droppers/loaders de fase inicial (QuanPinLoader, BinMergeLoader) com payloads como **ScoringMathTea RAT** (persistente desde 2022, similar ao LightlessCan) - Método: trojanizacao de PDFs e ferramentas open-source legitimas (MuPDF, TightVNC, plugins Notepad++) ### TraderTraitor - Supply Chain Cripto O subgrupo **TraderTraitor** (também rastreado como Jáde Sleet e UNC4899) especializa-se em: - Comprometimento de **infraestrutura de carteiras e exchanges** via credenciais de desenvolvedores - Deploy de **[[g1049-applejeus|AppleJeus]]** - aplicativo falso de trading que rouba chaves privadas - Phishing e instaladores trojanizados para profissionais de criptomoedas - Exploração de contratos inteligentes e protocolos DeFi para drenagem de fundos ## Arsenal (2024-2026) | Ferramenta | Tipo | Função | |-----------|------|--------| | [[g1049-applejeus\|AppleJeus]] | Fake trading app | Furto de chaves privadas de criptomoedas - cross-platform | | [[kandykorn\|KANDYKORN]] | macOS backdoor | Implante para engenheiros blockchain em macOS | | [[s1182-magicrat\|MagicRAT]] | RAT | Acesso remoto com ofuscacao de código | | [[s0567-dtrack\|Dtrack]] | Infostealer/backdoor | Roubo de dados e espionagem; variante ATM | | [[wannacry\|WannaCry]] | Ransomware wiper | Arma destrutiva - impacto global em 2017 | | [[s0376-hoplight\|HOPLIGHT]] | Backdoor proxy | C2 com proxy para ofuscar origem das conexoes | | ScoringMathTea | RAT (2022-2026) | Payload principal DreamJob - keylogging, exfiltração | | QuanPinLoader | Dropper | Loader de fase inicial em campanha DreamJob 2025 | ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Lures LinkedIn/PDF para profissionais de defesa e cripto | | Initial Access | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Comprometimento de safe.global, 3CX, software de trading | | Execution | Mshta | [[t1218-005-mshta\|T1218.005]] | Execução de payloads via Mshta para bypass de defesas | | Execution | Indirect Command Execution | [[t1202-indirect-command-execution\|T1202]] | Execução indireta para evadir logging de processo | | Defense Evasion | Embedded Payloads | [[t1027-009-embedded-payloads\|T1027.009]] | Payloads embutidos em documentos e arquivos legitimos | | Persistence | Account Manipulation | [[t1098-account-manipulation\|T1098]] | Manipulação de contas para manutenção de acesso | | Persistence | Hidden Files | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Ocultacao de artefatos de malware | | Impact | Data Destruction | [[t1485-data-destruction\|T1485]] | Wipers destrutivos (heranca WannaCry) | | Exfiltration | Unencrypted Non-C2 | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003]] | Exfiltração de dados via canais alternativos | ## Relevância para o Brasil e LATAM > [!warning] Ameaça Crescente via Ecossistema Cripto > O Lazarus Group nao possui operações confirmadas diretamente contra alvos no Brasil em 2024-2026. No entanto, a industrializacao do roubo de criptomoedas cria vetores de risco diretos para brasileiros que usam exchanges globais e plataformas DeFi. O Bybit Heist de 2025 afetou usuarios globais, incluindo brasileiros com ativos na plataforma. ### Vetores de Impacto para o Brasil **Roubo de Criptomoedas:** - Exchanges globais acessadas por brasileiros ([[bybit-heist-2025|Bybit]], DMM Bitcoin) foram comprometidas diretamente pelo grupo - Plataformas DeFi usadas no Brasil sao alvos de operações do subgrupo Citrine Sleet - O modelo de "drenagem via contratos inteligentes" pode afetar protocolos usados por investidores brasileiros - Total roubado pela DPRK em 2025: mais de **50% de todo o cripto roubado globalmente** **Operation DreamJob e Profissionais Brasileiros:** - Pesquisadores de segurança, desenvolvedores e engenheiros brasileiros sao perfis de interesse para a campanha DreamJob no LinkedIn - Ofertas de emprego falsas em empresas de tecnologia e defesa sao vetor de comprometimento de dispositivos pessoais com acesso a dados corporativos sensiveis **Supply Chain de Software:** - Comprometimentos como [[3cx-supply-chain|3CX Supply Chain Attack]] afetaram organizacoes globais incluindo empresas brasileiras que usam o software VoIP ### Subgrupos Relevantes - [[g0138-andariel|Andariel]] - espionagem contra defesa, governo e saúde (potencialmente relevante para contratantes de defesa brasileiros) - **TraderTraitor/APT38** - operações financeiras contra bancos (sistema SWIFT) e criptomoedas - risco direto para exchanges brasileiras - Citrine Sleet - especializado em criptoativos e exchanges DeFi ## Referências - [MITRE ATT&CK - Lazarus Group (G0032)](https://attack.mitre.org/groups/G0032) - [Wilson Center - Bybit Heist: What Happened and What Now](https://www.wilsoncenter.org/article/bybit-heist-what-happened-what-now) - [ESET WeLiveSecurity - Operation DreamJob Targets UAV Sector (2025)](https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/) - [Chainalysis - Crypto Hacking 2025 (US$ 3.4B stolen)](https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2026/) - [Barracuda - Lazarus Group: Criminal Syndicaté with a Flag](https://blog.barracuda.com/2025/09/23/lazarus-group--a-criminal-syndicaté-with-a-flag) - [BrandDefense - TraderTraitor APT 2025](https://brandefense.io/blog/tradertraitor-apt-2025/) - [TRM Labs - North Korea Industrialization of Crypto Theft](https://www.trmlabs.com/resources/blog/north-korea-and-the-industrialization-of-cryptocurrency-theft) **Atores relacionados:** [[g0138-andariel|Andariel]] · [[citrine-sleet|Citrine Sleet]] · [[g0082-apt38|APT38/BlueNoroff]] **Campanhas:** [[bybit-heist-2025|Bybit Heist 2025]] · [[operation-dream-job|Operation Dream Job]] · [[dmm-bitcoin-heist-2024|DMM Bitcoin Heist 2024]] · [[tradertraitor-campaign|TraderTraitor Campaign]] **Malware e ferramentas:** [[g1049-applejeus|AppleJeus]] · [[kandykorn|KANDYKORN]] · [[wannacry|WannaCry]] · [[s1182-magicrat|MagicRAT]] · [[s0567-dtrack|Dtrack]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1027-009-embedded-payloads|T1027.009]] · [[t1485-data-destruction|T1485]] · [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]] **Setores alvejados:** [[financial|Financeiro]] · [[cryptocurrency|Criptomoedas]] · [[defense|Defesa]] · [[technology|Tecnologia]] · [[aerospace|Aeroespacial]] ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.