# UNC4736 > [!high] Cluster norte-coreano especializado em roubo de criptomoedas e supply chain > UNC4736 é um sub-cluster do Lazarus Group atribuído ao Bureau Geral de Reconhecimento (RGB) da Coreia do Norte, especializado em roubo de criptomoedas para financiar o programa de armas do regime. O grupo executou o ataque à cadeia de suprimentos da 3CX em 2023 — um dos maiores supply chain attacks da história — e continua ativo em 2024-2025, com o hack de US$ 50 milhões à Radiant Capital. > [!latam] Relevância para o Brasil e América Latina > O Brasil possui um dos maiores mercados de criptomoedas da América Latina, com exchanges locais como Mercado Bitcoin, Foxbit e NovaDAX, além de crescente ecossistema DeFi. O Lazarus Group tem histórico de ataques a instituições financeiras na região — incluindo o Banco de Chile (2018) e tentativas contra o SPEI mexicano. O UNC4736, como sub-cluster especializado em crypto, representa ameaça prioritária para desenvolvedores Web3 e exchanges brasileiras. ## Visão Geral O **UNC4736** é um sub-cluster do [[lazarus-group|Lazarus Group]] rastreado pela **Mandiant/Google** e identificado com alta confiança como uma operação do **Bureau Geral de Reconhecimento (RGB)** da República Popular Democrática da Coreia (RPDC), específicamente o **Centro de Pesquisa 110, 3º Bureau**. O grupo é também rastreado como **AppleJeus** (nomenclatura histórica para operações de crypto da RPDC), **Citrine Sleet** (Microsoft) e **Jade Sleet** (GitHub). A missão do UNC4736 é exclusivamente **financeira**: roubos em larga escala de criptomoedas para financiar o programa norte-coreano de desenvolvimento de armas de destruição em massa (ADM), mísseis balísticos e para evasão das sanções internacionais impostas ao regime. O Departamento do Tesouro dos EUA e a Chainalysis estimam que o Lazarus Group e seus sub-clusters roubaram mais de **US$ 3 bilhões em criptomoedas** entre 2018 e 2023. O UNC4736 se distingue dentro do ecossistema do Lazarus por sua especialização em **ataques à cadeia de suprimentos de software** e **comprometimento de plataformas DeFi e exchanges de criptomoeda**. Em março de 2023, o grupo executou o ataque à **3CX Desktop App** — um dos supply chain attacks mais impactantes da história, comprometendo um software VoIP usado por mais de 600.000 empresas em 190 países. A Mandiant atribuiu o ataque ao UNC4736 com **alta confiança**. Em outubro de 2024, o grupo foi responsabilizado pelo hack de **US$ 50 milhões** à **Radiant Capital**, uma plataforma DeFi de empréstimos. O ataque utilizou técnicas sofisticadas de comprometimento de hardware wallets e manipulação de transações para desviar fundos. Para o Brasil e a América Latina, o UNC4736 representa uma ameaça relevante para o setor de criptomoedas. Grupos do Lazarus têm histórico de ataques a exchanges e plataformas DeFi em países como Chile e México. O crescente mercado de criptomoedas no Brasil e a proliferação de exchanges locais aumentam a superfície de ataque disponível para este cluster. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Software Supply Chain | T1195.002 | Trojanização de instaladores de software legítimo | | Acesso Inicial | Spearphishing via Service | T1566.003 | Contato via LinkedIn, Discord, Telegram | | Execução | Malicious File | T1204.002 | Instalação de app trojanizado (3CX, trading apps) | | Execução | Unix Shell | T1059.004 | Payloads macOS via shell scripts | | Injeção | Process Injection | T1055 | POOLRAT/TAXHAUL injetados em processos legítimos | | Evasão | Masquerading | T1036 | Apps trojanizados com certificados digitais válidos | | Coleção | Clipboard Data | T1115 | Roubo de endereços de carteiras crypto da clipboard | | Impacto | Financial Theft | — | Desvio de fundos via smart contracts comprometidos | ## Attack Flow ```mermaid graph TB A["🎯 Targeting Crypto/Web3<br/>Exchanges, DeFi, trading apps<br/>Desenvolvedores blockchain"] --> B["💊 Supply Chain Compromise<br/>Trojanização de instalador<br/>3CX / trading software"] B --> C["📦 Delivery<br/>TAXHAUL / COLDCAT dropper<br/>Assinado com cert legítimo"] C --> D["🔧 Implant POOLRAT<br/>Backdoor multiplataforma<br/>macOS + Windows"] D --> E["🔍 Reconhecimento Interno<br/>Mapeamento de carteiras<br/>e infraestrutura crypto"] E --> F["💸 Roubo de Criptomoedas<br/>Manipulação de transações<br/>Desvio via DeFi"] classDef target fill:#3498db,color:#ecf0f1 classDef supply fill:#e74c3c,color:#ecf0f1 classDef delivery fill:#e67e22,color:#ecf0f1 classDef implant fill:#9b59b6,color:#ecf0f1 classDef recon fill:#2c3e50,color:#ecf0f1 classDef steal fill:#e74c3c,color:#ecf0f1 class A target class B supply class C delivery class D implant class E recon class F steal ``` ## Campanhas Notáveis ### Ataque 3CX Supply Chain (Março-Abril 2023) O incidente mais impactante atribuído ao UNC4736. O grupo trojanizou o **3CXDesktopApp** — software VoIP amplamente utilizado em ambientes corporativos — inserindo o backdoor **Gopuram** no instalador oficial assinado digitalmente. O ataque comprometeu potencialmente centenas de milhares de empresas em 190 países antes de ser descoberto. A Mandiant atribuiu o ataque ao UNC4736 com alta confiança, em correlação com técnicas e infraestrutura previamente associadas ao Lazarus Group. ### Hack Radiant Capital (Outubro 2024) Em outubro de 2024, o UNC4736 orquestrou um roubo de aproximadamente **US$ 50 milhões** da plataforma DeFi Radiant Capital. O ataque envolveu o comprometimento de hardware wallets de signatários autorizados da plataforma, manipulando transações legítimas para desviar fundos para endereços controlados pelo grupo. ### Campanha AppleJeus (2018-presente) Desde 2018, o grupo (rastreado historicamente como AppleJeus) conduz campanhas sistemáticas contra usuários de plataformas de trading de criptomoedas, distribuindo aplicações de trading falsas que instalam backdoors no sistema da vítima. As plataformas incluem aplicativos macOS e Windows para exchanges de criptomoedas, frequentemente promovidas em comunidades de desenvolvimento blockchain. ### Comprometimento de Desenvolvedores Web3 O grupo tem como alvo frequente **desenvolvedores Web3 e blockchain**, abordando-os no LinkedIn, Discord e Telegram com propostas de trabalho ou projetos colaborativos. Após estabelecer contato, entrega arquivos maliciosos disfarçados de projetos de código ou contratos inteligentes para revisão. ## Malware Utilizado | Malware | Plataforma | Tipo | Notas | |---------|-----------|------|-------| | [[poolrat\|POOLRAT]] | macOS/Windows | Backdoor | Principal implant; multiplataforma | | [[taxhaul\|TAXHAUL]] | macOS | Dropper | Entrega COLDCAT e POOLRAT | | [[coldcat\|COLDCAT]] | macOS | Downloader | Persistência e download de payloads adicionais | | [[airdry\|AIRDRY]] | Windows | Backdoor | Variante do arsenal histórico AppleJeus | | [[gopuram\|Gopuram]] | Windows | Backdoor | Usado no ataque 3CX; correlação com Lazarus | ## Contexto Geopolítico O UNC4736 opera dentro do contexto da **dependência financeira da Coreia do Norte em crimes cibernéticos**. Com economia devastada por sanções internacionais e gastos militares, o regime RPDC depende significativamente de receitas oriundas de roubos cibernéticos para financiar seus programas de ADM. O FBI, CISA e aliados estimam que Pyongyang arrecada **centenas de milhões de dólares por ano** via operações cibernéticas: - 2018: Roubo de US$ 571 mi (Coincheck, Japão) - 2022: Hack Ronin Network - US$ 625 mi - 2023: Ataque 3CX (impacto financeiro não quantificado públicamente) - 2024: Radiant Capital - US$ 50 mi O Tesouro dos EUA sancionou enderecos de carteira crypto associados ao grupo, mas a natureza descentralizada das finanças blockchain limita a eficácia das sanções. ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Instaladores de software VoIP ou trading app com comportamento de processo anômalo (netconns inesperadas, DLLs suspeitas) - Presença de POOLRAT, TAXHAUL ou COLDCAT em sistemas macOS — verificar via hash ou comportamento - Conexoes de saída para infraestrutura de C2 associada ao Lazarus Group - Tentativas de acesso a arquivos de carteira crypto (wallet.dat, keystore/, etc.) por processos não esperados - Abordagens não solicitadas via LinkedIn/Discord com oportunidades de trabalho em crypto/Web3 **Mitigações recomendadas:** - Verificar a integridade de instaladores de software de terceiros contra checksums públicados pelo fabricante - Implementar proteções de endpoint específicas para macOS (XProtect atualizado, EDR macOS-native) ([[m1045-code-signing|M1045]]) - Restringir execução de aplicações não gerenciadas em endpoints corporativos (Application Allowlisting) - Utilizar hardware wallets com protecoes adicionais e multi-assinatura para transações de alto valor - Treinar equipes de desenvolvimento blockchain sobre engenharia social via redes profissionais ([[m1017-user-training|M1017]]) - Monitorar transações de blockchain em tempo real para detecção de desvios anômalos ## Relevância LATAM Embora o UNC4736 não tenha campanha documentada específicamente direcionada ao Brasil, o Lazarus Group — do qual o UNC4736 é sub-cluster — tem histórico de ataques a exchanges de criptomoedas e instituições financeiras na América Latina: - **Chile**: Ataques ao Banco de Chile (2018) com variante do malware Lazarus - **México**: Tentativas documentadas contra o sistema interbancário SPEI O Brasil, com um dos maiores mercados de criptomoedas do mundo e crescente ecossistema DeFi, representa um alvo de alto valor potencial. Exchanges brasileiras como [[mercado-bitcoin|Mercado Bitcoin]], [[foxbit|Foxbit]] e [[novadax|NovaDAX]], além de projetos DeFi com capital significativo, devem considerar o UNC4736 como ameaça prioritária ao definir controles de segurança. ## Referências - [MITRE ATT&CK: G1049 - AppleJeus](https://attack.mitre.org/groups/G1049/) - [Mandiant: 3CX Attribution UNC4736](https://blog.eclecticiq.com/3cx-incident-attributed-to-north-korea-new-lockbit-macos-sample) - [Google/Mandiant: North Korea Cyber Structure](https://cloud.google.com/blog/topics/threat-intelligence/north-korea-cyber-structure-alignment-2023/) - [The Record: North Korea Hackers 3CX Attack](https://therecord.media/north-korea-hackers-linked-to-3cx-attack) - [SC World: Radiant Capital Crypto Heist](https://www.scworld.com/brief/north-korean-apt-blamed-for-radiant-capital-crypto-heist) - [US Treasury: Sanctions UNC4736-linked Wallets](https://home.treasury.gov/news/press-releases/sm774)