Operadores ligados à Coreia do Norte passaram anos se integrando discretamente em empresas de cripto e equipes de DeFi, levantando novas preocupações sobre o risco interno após uma série de exploits de alto valor ligados ao aparato cibernético do país.
A pesquisadora de segurança e desenvolvedora do MetaMask, Taylor Monahan, disse que essas táticas remontam aos primórdios das finanças descentralizadas, com indivíduos ligados à República Popular Democrática da Coreia contribuindo para vários protocolos amplamente utilizados.
“Muitos trabalhadores de TI da RPDC construíram os protocolos que você conhece e ama, desde o DeFi summer”, disse ela no domingo, acrescentando que mais de 40 plataformas, incluindo vários projetos bem conhecidos, em algum momento dependeram de tais desenvolvedores.
No entanto, ela observou que os “sete anos de experiência em desenvolvimento de blockchain” listados em seus currículos “não são uma mentira”.
Investigadores há muito tempo ligam as operações cibernéticas da Coreia do Norte ao Lazarus Group, um coletivo apoiado pelo estado que se acredita ter roubado cerca de US$ 7 bilhões em ativos digitais desde 2017, de acordo com analistas da R3ACH.
O grupo foi associado a algumas das maiores violações da indústria, incluindo o exploit da Ronin Bridge de US$ 625 milhões em 2022, o hack da WazirX de US$ 235 milhões em 2024 e o incidente da Bybit de US$ 1,4 bilhão em 2025.
O exploit de US$ 280 milhões do Drift Protocol na semana passada atraiu um escrutínio renovado. O projeto disse ter “confiança média-alta” de que um grupo afiliado ao estado norte-coreano estava por trás do ataque, ligando o incidente a um padrão mais amplo de infiltração e engenharia social.
No entanto, as reuniões presenciais que levaram à violação não foram com cidadãos norte-coreanos, mas sim com “intermediários terceirizados” usando “identidades totalmente construídas, incluindo históricos de emprego, credenciais públicas e redes profissionais”.
Esses perfis incluíam históricos de emprego, credenciais públicas e redes profissionais ativas, permitindo-lhes construir confiança através de interações presenciais antes que o exploit se desenrolasse.
O investigador independente de blockchain ZachXBT alertou em uma postagem recente no X que nem todas as ameaças ligadas à Coreia do Norte operam no mesmo nível de sofisticação.
“O principal problema é que todos os agrupam quando a complexidade das ameaças é diferente”, disse ele.
Ele descreveu muitas tentativas de infiltração como relativamente simples, baseando-se na persistência em vez da complexidade técnica. A abordagem através de anúncios de emprego, LinkedIn, e-mail, chamadas de Zoom e processos de entrevista permanece comum.
“Básico e de forma alguma sofisticado […] a única coisa sobre eles é que são implacáveis”, disse ele, acrescentando que as equipes que continuam a cair em tais táticas em 2026 correm o risco de serem vistas como negligentes.
