g0124-bluenoroff - RunkIntel

# BlueNoroff > [!danger] Coreia do Norte - Especialista em Roubos de Criptomoeda > BlueNoroff e o braco financeiro do Lazarus Group: responsavel por mais de $2 bilhoes em roubos de criptomoeda acumulados, incluindo o roubo de $81 milhões do Bangladesh Central Bank em 2016 e heists múltiplos de exchanges DeFi. Opera como unidade autonoma dentro do RGB norte-coreano com foco exclusivo em geracao de receita para o regime. ## Visão Geral BlueNoroff e um subgrupo do [[g0032-lazarus-group|Lazarus Group]] sob o RGB (Reconnaissance General Bureau) da Coreia do Norte, especializado em **roubo financeiro em larga escala** - especialmente criptomoedas, exchanges DeFi, empresas Web3 e sistema SWIFT bancario. Rastreado por diferentes nomes: **Sapphire Sleet** (Microsoft), **APT38** (Mandiant), **Alluring Pisces** (Palo Alto). **Evolução estratégica:** Do SWIFT bancario (2016) para exchanges de criptomoeda (2017-2020), para ataques a executivos Web3 via fake job interviews (2023-2024), para supply chain attacks com pacotes Go maliciosos (2025) e Microsoft Teams impersonation. O grupo demonstra adaptacao rapida ao ecosistema cripto em evolução. **Escala de impacto:** Mais de **$2 bilhoes** roubados em criptomoeda, com o Bangladesh Central Bank heist ($81M via SWIFT), Ronin Network ($625M), KuCoin ($281M), DMM Bitcoin ($305M) e o roubo Bybit de $1.5 bilhao em 2025 entre os mais notaveis. **Distincao Sapphire Sleet:** A designacao Microsoft "Sapphire Sleet" rastreia específicamente as operações de engenharia social LinkedIn/venture capitalist - onde o grupo se faz passar como VCs ou recrutadores de firmas como Goldman Sachs para entregar malware via fake skills assessments ou erros de conexão de videoconferencia. ## Campanhas Notaveis | Período | Campanha | Método | Impacto Estimado | |---------|----------|--------|-----------------| | 2016 | Bangladesh SWIFT | Comprometimento SWIFT | $81 milhões | | 2017+ | SnatchCrypto | Phishing crypto exchanges | Centenas de milhões | | 2022 | Ronin Network | Private key compromise | $625 milhões | | 2023 | GhostCall/GhostHire | Fake job interviews macOS | Nao divulgado | | 2024 | Hidden Risk | Email phishing PDF malicioso | Crypto firms | | 2024 | Sapphire Sleet LinkedIn | Fake VCs + LinkedIn | $10M+ (6 meses) | | 2025 | GhostHire Go Packages | Supply chain npm/Go | Developers cripto | | 2025 | Teams Impersonation | Microsoft Teams phishing | Em andamento | ## Arsenal e Kill Chain ```mermaid graph TB A["Reconhecimento LinkedIn / GitHub / X Identificação de targets cripto"] --> B["Engenharia Social Fake VC / Recruiter Telegram / LinkedIn outreach"] B --> C["Entrega de Payload Fake video call error Scripts .scpt (Mac) / .vbs (Win)"] C --> D["Malware Deploy RustBucket / Hidden Risk KANDYKORN / PondRAT"] D --> E["Coleta de Credenciais Wallet keys / Seeds Exchange API keys"] E --> F["Exfiltração Financeira Transferencias cripto Lavagem multi-chain"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef social fill:#8e44ad,color:#fff,stroke:#6c3483 classDef delivery fill:#c0392b,color:#fff,stroke:#922b21 classDef malware fill:#e67e22,color:#fff,stroke:#d35400 classDef creds fill:#2980b9,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B social class C delivery class D malware class E creds class F exfil ``` ## Timeline de Grandes Heists ```mermaid timeline title BlueNoroff - Cronologia de Grandes Roubos 2016 : Bangladesh Central Bank : $81M via SWIFT 2017 : Inicio de SnatchCrypto : Foco em exchanges cripto 2018 : Fake crypto software companies : Apps trojanizados 2020 : KuCoin Exchange : $281M hot wallet 2022 : Ronin Network : $625M Axie Infinity 2022 : Harmony Horizon Bridge : $100M smart contract 2023 : GhostCall macOS : Fake job interviews 2024 : Sapphire Sleet LinkedIn : $10M+ / 6 meses 2025 : Bybit Heist : $1.5 bilhao ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1566-003-spearphishing-via-service|T1566.003 - Spearphishing via Service]] - [[t1059-002-applescript|T1059.002 - AppleScript]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1195-002-compromise-software-supply-chain|T1195.002 - Software Supply Chain]] - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1056-input-capture|T1056 - Input Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] ## Software Utilizado - [[rustbucket|RustBucket]] - Backdoor Rust multiplataforma (2023) - [[kandykorn|KANDYKORN]] - Implante macOS para engenheiros blockchain - [[powerratankba|PowerRatankba]] - Framework modular PowerShell (historico) - [[applojeus|AppleJeus]] - Campanha de crypto software trojanizado - [[hidden-risk|Hidden Risk Malware]] - PDF malicioso bypass Gatekeeper (2024) - [[pondrat|PondRAT]] - RAT macOS/Linux em pacotes npm/Go maliciosos (2024-2025) ## Relacao com Lazarus Group e Outros Subgrupos BlueNoroff opera como subgrupo financeiro dentro do [[g0032-lazarus-group|Lazarus Group]]. No framework de Palo Alto: - **Alluring Pisces** = BlueNoroff + Sapphire Sleet (foco financeiro) - **Slow Pisces** = Jáde Sleet / TraderTraitor (blockchain companies, supply chain) - **Gleaming Pisces** = Citrine Sleet / AppleJeus (crypto industry) A fronteira e porosa e atribuicoes variam por fornecedor, mas o objetivo e comum: geração de receita para o regime da Coreia do Norte via roubo de ativos digitais. ## Lavagem de Criptomoeda O grupo emprega um processo estruturado de lavagem em 3 ondas após cada heist: 1. **Dias 0-5:** Layering imediato via DeFi protocols e mixing services (Tornado Cash, eXch) 2. **Dias 6-10:** Transferencia para exchanges de segunda camada e cross-chain bridges 3. **Dias 20-45:** Conversao final para fiat via OTC traders de lingua chinesa ## Relevância para o Brasil e LATAM O mercado de criptomoedas no Brasil e um dos maiores do mundo - com exchanges como [[_mercado-bitcoin|Mercado Bitcoin]], Foxbit, NovaDAX e volumes significativos de usuarios DeFi. BlueNoroff e outros subgrupos do Lazarus representam ameaça direta para: - **Exchanges de criptomoeda brasileiras** - hot wallets, API keys, private keys - **Desenvolvedores Web3 e DeFi** - supply chain attacks via pacotes npm/Go maliciosos - **Gestores de fundos cripto** - fake VC impersonation via LinkedIn - **Startups blockchain** - job offers falsos e fake investor meetings O vetor de supply chain (pacotes npm/Go maliciosos no PyPI, npm, Go modules) e especialmente preocupante pois desenvolvedores brasileiros que utilizam bibliotecas cripto podem inadvertidamente instalar malware BlueNoroff. > **Alerta para profissionais de cripto:** Nao aceitar videochamadas que "derem erro" e pedirem para baixar scripts de "suporte tecnico". Nao instalar pacotes cripto de fontes desconhecidas. Verificar hashes de bibliotecas criticas. ## Detecção e Defesa **Indicadores chave:** - Arquivos .scpt (AppleScript) ou .vbs baixados de "suporte de videoconferencia" - Launch Agents criados em `~/Library/LaunchAgents/` (persistência macOS) - Pacotes npm/Go com nomes similares a bibliotecas cripto legiitimas (typosquatting) - Apple Developer IDs desconhecidos em binarios macOS (Hidden Risk bypass Gatekeeper) - Conexoes a infraestrutura C2 de Tornado Cash ou mixers durante exfiltração **Mitigacoes prioritarias:** - [[m1017-user-training|M1017 - User Training]] - Reconhecimento de fake job/VC scams - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - Hardware MFA em contas de exchange - [[m1051-update-software|M1051 - Updaté Software]] - Verificação de hashes de pacotes cripto ## Referências - [1](https://www.picussecurity.com/resource/blog/bluenoroff-group-the-financial-cybercrime-arm-of-lazarus) Picus Security - BlueNoroff Financial Cybercrime Arm (2026) - [2](https://www.microsoft.com/en-us/security/blog/2024/11/22/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon/) Microsoft - Sapphire Sleet Cyberwarcon Intelligence (2024) - [3](https://unit42.paloaltonetworks.com/threat-assessment-north-korean-threat-groups-2024/) Palo Alto Unit 42 - North Korean Threat Groups Assessment (2024) - [4](https://github.com/tayvano/lazarus-bluenoroff-research) GitHub - Lazarus/BlueNoroff Research Repository (2024) - [5](https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html) The Hacker News - North Korea $2.02B Crypto Theft 2025 (2025)