O investigador de blockchain ZachXBT descobriu o que ele alega ser uma rede de trabalhadores de TI ligada à Coreia do Norte, gerando aproximadamente US$ 1 milhão por mês através de pagamentos relacionados a criptoativos e esquemas de emprego fraudulentos.
Em uma thread detalhada no X, o detetive on-chain afirmou que as descobertas vêm de dados exfiltrados de um servidor de pagamentos interno ligado a 390 contas.
O cache de dados também inclui registros de chat, atividade de carteira e registros de identidade que não haviam sido divulgados anteriormente, disse o detetive cripto.
De acordo com a análise de ZachXBT, o que parece ser uma operação estruturada que se baseia em personas forjadas, documentos falsos e um fluxo de pagamento bem coordenado, já movimentou mais de US$ 3,5 milhões desde novembro passado.
Uma plataforma interna de remessas que se assemelha a um serviço de mensagens está no centro do sistema, disse ele. Os trabalhadores usam a ferramenta para relatar ganhos e receber instruções de pagamento de uma conta de administrador central.
Então, os fundos eram geralmente roteados através de transações de criptomoeda antes de serem convertidos para moeda fiduciária usando contas bancárias chinesas ou plataformas como Payoneer.
ZachXBT ligou vários endereços de pagamento a clusters conhecidos associados à atividade de trabalhadores de TI norte-coreanos. Um endereço Tron conectado à rede foi congelado pela Tether em dezembro, disse ele.
Além disso, os dados revelaram detalhes operacionais como VPNs para mascarar localizações, pedidos de emprego arquivados sob identidades falsas e até comunicações internas entre dezenas de trabalhadores.
Em um caso, um dispositivo comprometido mostrou discussões sobre o ataque a um projeto de jogos cripto. Permanece incerto se o ataque foi executado.
Notavelmente, o grupo parecia menos sofisticado do que operações de alto perfil ligadas à RPDC, como a Lazarus.
No entanto, ZachXBT disse que o perfil de receita se alinha com estimativas anteriores de que os esquemas de trabalhadores de TI norte-coreanos geram múltiplos sete dígitos por mês.
As descobertas se somam a uma tendência mais ampla de atividade ligada à Coreia do Norte em cripto e no ciberespaço, diversificando-se além de hacks de alto perfil para redes de trabalho, fraude e pagamento.
Nas últimas semanas, um projeto baseado em Solana conhecido como Stabble pediu aos provedores de liquidez para retirarem fundos após identificar um ex-funcionário norte-coreano. O protocolo Drift também ligou um exploit de US$ 280 milhões a uma campanha de engenharia social de meses atribuída a supostos atores da RPDC.
Enquanto isso, as autoridades dos EUA também sancionaram facilitadores conectados a um esquema de US$ 800 milhões ligado a cripto, sublinhando a escala da atividade ligada às operações cibernéticas do país.
Isenção de responsabilidade: The Block é uma mídia independente que entrega notícias, pesquisas e dados. A partir de novembro de 2023, a Foresight Ventures é a investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar independentemente para entregar informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou pretendido para ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
