cryptocurrency - RunkIntel

# Setor de Criptomoedas O setor de criptomoedas tornou-se o principal alvo financeiro de grupos APT patrocinados pelo Estado norte-coreano. Em 2025, **US$3,4 bilhões** foram roubados de exchanges, protocolos DeFi e carteiras crypto globalmente (Chainalysis 2026), com a Coreia do Norte responsável por **US$2,02 bilhões** - crescimento de **51% em relação a 2024**. O ataque à Bybit em fevereiro de 2025 ([[bybit-heist-2025|Bybit Heist]]) tornou-se o maior roubo individual de criptoativos da história: **US$1,5 bilhão** em Ethereum em uma única operação. ## Panorama de Ameaças O [[g0032-lazarus-group|Lazarus Group]] e suas subunidades especializadas - especialmente o [[tradertraitor|TraderTraitor]] (UNC4899) e o [[citrine-sleet|Citrine Sleet]] - dominam o panorama de ameaças ao setor. Em 2025, grupos norte-coreanos foram responsáveis por **76% de todos os comprometimentos de serviços crypto** (Chainalysis). O modelo operacional combina espionagem de longo prazo (infiltração de funcionários IT em empresas crypto) com ataques técnicos sofisticados (supply chain de SDK, comprometimento de infraestrutura de custódia). O Bybit Heist ilustra a sofisticação atingida: o TraderTraitor comprometeu a supply chain do Safe{Wallet} - interface de multisig usada pelo time de custódia da Bybit - para manipular transações aprovadas por múltiplos signatários simultaneamente. O ataque levou menos de 2 horas da execução ao esvaziamento de US$1,5B em ETH e stETH. O padrão de lavagem segue ciclo definido: os ativos roubados são convertidos para Bitcoin via mixing services e exchanges P2P em **45-60 dias**, alimentando diretamente o programa de mísseis balísticos da DPRK (FBI/DOJ confirmação, 2025). A DPRK acumulou **US$6,75 bilhões** em criptoativos desde 2017, segundo estimativas consolidadas do Chainalysis 2026. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB CRIPTO["Setor de Criptomoedas"] --> TT["TraderTraitor (DPRK) Bybit Heist $1.5B"] CRIPTO --> LAZ["Lazarus Group Supply Chain SDK"] CRIPTO --> CSLEET["Citrine Sleet Devs DeFi"] TT -->|"Supply chain Safe Wallet manipulação de custódia"| T1195["T1195.002: Supply Chain"] LAZ -->|"Phishing a executivos via LinkedIn"| T1566["T1566: Phishing"] CSLEET -->|"GitHub repos comprometidos npm packages maliciosos"| T1195 T1195 --> ROB["Roubo de Criptoativos em Escala"] T1566 --> ROB ROB --> LAV["Lavagem via Mixing P2P / Tornado Cash"] LAV --> DPRK["Financiamento DPRK Programa de Misseis"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Comprometimento de supply chain de custódia | 🟥 Crítico | [[tradertraitor\|TraderTraitor]], [[g0032-lazarus-group\|Lazarus Group]] | | Infiltração IT worker DPRK em empresas crypto | 🟥 Crítico | Grupos DPRK (identificados por DOJ/FBI) | | Ataques a protocolos DeFi e bridges | 🟧 Alto | [[g0032-lazarus-group\|Lazarus Group]], grupos oportunistas | | Phishing/social engineering a devs e executivos | 🟧 Alto | [[g1039-citrine-sleet\|Citrine Sleet]], AppleJeus campaigns | | Malware em aplicativos de trading trojanizados | 🟧 Alto | Lazarus (AppleJeus), grupos criminosos | | Comprometimento de exchanges regionais LATAM | 🟨 Médio | Grupos financeiros, insiders | ## TTPs Frequentes - [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]] - comprometimento de SDKs, bibliotecas npm e interfaces de custódia; Bybit Heist explorou comprometimento do Safe{Wallet} para manipular transações multisig; técnica mais lucrativa do grupo - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - spear-phishing altamente personalizado a executivos e traders de exchanges; uso de oportunidades de emprego falsas e propostas de investimento como lure - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - engenharia social via LinkedIn, Discord e Telegram contra desenvolvedores DeFi; entrega de repositórios GitHub comprometidos como "desafio técnico" de entrevista - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - scripts Python e Node.js maliciosos em pacotes npm aparentemente legítimos distribuídos a desenvolvedores DeFi - [[t1070-indicator-removal|T1070 - Indicator Removal]] - limpeza agressiva de rastros pós-roubo; uso de mixing services, chain hopping e exchanges sem KYC para lavagem em 45-60 dias ## Incidentes Recentes (2024-2025) - **Bybit Heist (fev/2025)** - maior roubo de criptoativos da história; US$1,5B em ETH e stETH roubados pela subunidade TraderTraitor do Lazarus; exploração de supply chain do Safe{Wallet} para manipular aprovações multisig; rastreamento em tempo real por Arkham Intelligence e ZachXBT (Chainalysis, Mandiant) - **DPRK IT Workers infiltrados (2024-2025)** - DOJ e FBI identificaram rede de trabalhadores norte-coreanos contratados como freelancers em empresas crypto americanas e europeias usando identidades falsas; US$88M em salários enviados para DPRK em 2025 (FBI) - **Lazarus AppleJeus - LATAM (2024-2025)** - campanha de aplicativos de trading trojanizados comprometeu usuários no Brasil, México, Argentina; carteiras crypto drenadas via malware com persistência - **Exchange regional LATAM (2025)** - exchange de médio porte sem nome revelado comprometida via credenciais de administrador; dados de clientes brasileiros e argentinos expostos (Intel 471) - **Ronin Bridge v2 (2024)** - Lazarus Group comprometeu nova versão do bridge Ronin (anteriormente roubado em $625M em 2022); ataque interceptado por white hat mas demonstrou persistência do grupo contra alvos anteriores ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Total roubado de criptoativos globalmente (2025) | US$3,4 bilhões | Chainalysis 2026 | | Atribuído à DPRK (2025) | US$2,02 bilhões (+51% YoY) | Chainalysis 2026 | | % de comprometimentos por grupos DPRK | 76% de todos os serviços crypto | Chainalysis 2026 | | Bybit Heist (maior roubo individual) | US$1,5 bilhão | Mandiant/FBI fev/2025 | | Criptoativos DPRK acumulados (2017-2025) | US$6,75 bilhões | Chainalysis 2026 | | Prazo médio de lavagem pós-roubo | 45-60 dias | Chainalysis 2026 | | IT workers DPRK identificados em empresas crypto | 300+ (DOJ) | DOJ/FBI 2025 | ## Contexto Brasil/LATAM O Brasil possui um dos maiores mercados de criptomoedas da América Latina, com exchanges como Mercado Bitcoin, Foxbit e Binance Brasil operando com volumes significativos. A Receita Federal registra mais de **12 milhões de declarantes** de ativos em criptomoedas no Brasil (2025), tornando o país um mercado de alto valor para grupos criminosos. A LATAM tem crescimento acelerado de adoção de criptomoedas, especialmente em países com instabilidade monetária (Argentina, Venezuela) onde crypto serve como hedge. Esse crescimento amplia a superfície de ataque regional: usuários menos experientes em segurança, exchanges regionais com controles mais fracos, e sofisticação crescente de grupos de fraude locais que operam roubos de carteiras via malware e engenharia social. Exchanges e fintechs crypto brasileiras estão sujeitas à regulação do **Bacen e CVM** desde 2023, mas o enforcement de segurança ainda é incipiente comparado a jurisdições mais maduras. ## Regulação Aplicavel - **Lei 14.478/2022** - Marco Legal das Criptomoedas no Brasil; define exchanges como prestadores de serviços de ativos virtuais (PSAVs) - **Resolução Bacen 4.935/2021** - regulação de exchanges e fintechs de criptomoedas - **CVM** - supervisão de tokens com características de valores mobiliários - [[lgpd|LGPD]] - dados de usuários de exchanges (KYC, histórico de transações) - **FATF Guidance** - recomendações para prevenção à lavagem de dinheiro via ativos virtuais ## Referências - Chainalysis: Crypto Crime Report 2026 (ján/2026) - FBI/DOJ: North Korean IT Worker Network Disruption (2025) - Mandiant: TraderTraitor - Bybit Heist Analysis (fev/2025) - Arkham Intelligence: Real-time Bybit Heist Tracking (fev/2025) - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - Elliptic Research: Lazarus Group Cumulative $6.75B Analysis