Aqui está como os hackers norte-coreanos ainda estão a ser pagos em criptomoeda apesar das sanções

A TRM Labs afirma que trabalhadores de TI norte-coreanos lavaram milhões em USDC e USDT enquanto trabalhavam secretamente para startups de blockchain.

A Coreia do Norte continua a depender das criptomoedas para financiar discretamente os seus programas de armamento, e o governo dos EUA está a intensificar os esforços para os encerrar. No dia 8 de julho, o Escritório de Controle de Ativos Estrangeiros do Tesouro dos EUA sancionou um hacker norte-coreano, Song Kum Hyok, que, segundo dizem, ajudou a organizar um esquema generalizado envolvendo trabalhadores remotos falsos em empresas de tecnologia e criptomoedas desprevenidas.

De acordo com um relatório recente da empresa de forense blockchain TRM Labs, Song estava ligado ao Andariel, uma unidade de cibercrime que faz parte da inteligência militar da Coreia do Norte. Eles explicaram que ele desempenhou um papel fundamental na colocação de trabalhadores de TI — a maioria dos quais eram, na verdade, operativos norte-coreanos — em empregos em empresas dos EUA, usando identidades americanas roubadas e documentos falsos.

Muitos desses empregos estavam em web3, infraestrutura de cripto ou desenvolvimento de software relacionado com blockchain.

A TRM Labs afirmou que esses trabalhadores operavam a partir de países como a China e a Rússia enquanto fingiam ser freelancers baseados nos EUA. Eles foram pagos em stablecoins como USD Coin (USDC) e Tether (USDT). A partir daí, o dinheiro parece ter fluído através de camadas de carteiras, misturadores e serviços de conversão antes de acabar nas mãos do regime norte-coreano.

“O Tesouro continua comprometido em usar todas as ferramentas disponíveis para interromper os esforços do regime Kim de contornar sanções por meio do roubo de ativos digitais, tentativa de impersonação de americanos e ataques cibernéticos maliciosos.”

Secretário Adjunto do Tesouro, Michael Faulkender

Analistas do TRM Labs apontaram que este é apenas o mais recente sinal de que o Bureau Geral de Reconhecimento da Coreia do Norte — a mesma agência por trás do Lazarus e Bluenoroff — ainda está utilizando táticas cibernéticas para apoiar objetivos militares. Os funcionários do Tesouro, notaram, têm alertado que o roubo de criptomoedas e a fraude de identidade continuam a ser centrais na estratégia da Coreia do Norte para evitar pressão econômica.

Os analistas explicaram que o esquema descoberto pelo OFAC depende fortemente de falsas identidades. Song foi alegadamente responsável por criar essas identidades falsas, utilizando dados roubados de cidadãos americanos reais. Uma vez contratados, os agentes norte-coreanos podem ter trabalhado durante meses ou até anos em empresas dos EUA sob nomes falsos.

Eles também notaram que o OFAC sancionou quatro empresas e uma outra pessoa ligada a uma rede com sede na Rússia que supostamente ajudou a gerenciar esses empregos de TI falsos. Essas empresas supostamente assinaram contratos de longo prazo com empresas ligadas à RPDC e estavam cientes de que estavam lidando com trabalhadores norte-coreanos.

Muitos dos trabalhadores visaram empregos no setor de criptomoedas especificamente, onde os pagamentos eram mais fáceis de anonimizar. Uma vez que a criptomoeda foi recebida, os analistas da TRM Labs disseram que ela foi espalhada por várias carteiras e eventualmente convertida em moeda fiduciária usando corretores OTC, alguns dos quais já foram sancionados.

Aliança cibernética

A mais recente ação do OFAC seguiu uma série de movimentos coordenados por agências dos EUA, incluindo o Departamento de Justiça e o FBI. Em 5 de junho de 2025, o DOJ também apresentou uma queixa de confisco civil buscando apreender mais de 7,7 milhões de dólares em cripto, NFTs e outros ativos digitais que se acredita estarem ligados à mesma rede norte-coreana.

A TRM Labs afirma que os trabalhadores usaram identidades como "Joshua Palmer" e "Alex Hong" para serem contratados em startups de criptomoedas e outras empresas de tecnologia. Eles foram pagos em stablecoins, com os rendimentos a serem encaminhados através de exchanges centralizadas, wallets auto-hospedadas e, em seguida, para figuras de regime de nível superior como Kim Sang Man e Sim Hyon Sop, ambos já sob sanções dos EUA.

A investigação do DOJ, segundo analistas, revelou que partes da operação dependiam de infraestrutura baseada na Rússia e nos EAU. Os investigadores encontraram o uso de endereços IP locais e documentação falsificada, que ajudaram os trabalhadores norte-coreanos a esconder suas verdadeiras identidades. Isso, disseram, sublinhou quão internacional o esquema se tornara.

Atividade em cadeia relacionada às carteiras de trabalhadores de TI do DPRK | Fonte: TRM LabsOs dados da blockchain analisados pela TRM mostraram que, uma vez que os fundos chegavam a carteiras de nível médio, o dinheiro era dividido em porções menores, roteado através de ferramentas de melhoria de privacidade e, eventualmente, trocado por fiat via mesas de OTC. Um desses corretores de OTC já havia sido sancionado pelo OFAC no final de 2024.

Quanto aos esforços de aplicação da lei, o FBI e outras agências conseguiram apreender uma parte dos ativos digitais lavados, incluindo USDC, ETH e alguns NFTs de alto valor. Os analistas descreveram estas apreensões como parte de uma estratégia de lavagem mais ampla destinada a desmantelar a trilha do dinheiro e tornar a deteção muito mais difícil.

A TRM Labs afirma que a mais recente ação do governo dos EUA envia uma mensagem de que as criptomoedas continuam a ser um canal de alto risco para a evasão de sanções, especialmente no que diz respeito às operações norte-coreanas. A empresa de inteligência em blockchain alertou que as empresas que contratam desenvolvedores remotos — especialmente no espaço blockchain — precisam ter um cuidado extra na verificação de com quem estão realmente lidando.