Grupo Lazarus: Como os cibercriminosos norte-coreanos roubam criptomoedas
Um grupo de hackers roubou mais criptomoedas do que qualquer outro na história. E por acaso, trabalha para um governo. O Grupo Lazarus é a operação estatal de hackers da Coreia do Norte, e para eles, roubar criptomoedas não é um trabalho paralelo. É a atividade principal, uma fonte de receita nacional com folha de pagamento por trás. Em um bom ano, segundo seus padrões, o grupo drena mais de dois bilhões de dólares de corretoras, bridges e carteiras comuns. A maior parte desse valor desaparece antes mesmo de alguém registrar uma queixa.
Este guia aborda quem são eles, os maiores roubos a que estão ligados, como um ataque realmente acontece, como o dinheiro é lavado e quanto desapareceu. O foco permanece nas criptomoedas. É aí que esta história se concentra agora.
Quem é realmente o Grupo Lázaro?
Esqueça a imagem de um hacker solitário de capuz. O Grupo Lazarus se assemelha mais a um departamento governamental com folha de pagamento. Agências ocidentais o vinculam ao Departamento Geral de Reconhecimento da Coreia do Norte, o principal serviço de inteligência estrangeira do país, e às unidades às vezes denominadas Departamento 121. Pesquisadores de segurança cibernética o monitoram como um único grupo de ameaças, embora, na prática, seja um conjunto de equipes que executam as operações cibernéticas ofensivas do governo norte-coreano. As pessoas por trás dos teclados são treinadas, assalariadas e recebem tarefas, e sua lista de alvos é definida pelo Estado.
O grupo é conhecido por vários nomes, dependendo de quem escreve o relatório: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Os analistas o dividem em subequipes com funções diferentes. A BlueNoroff persegue bancos e empresas de criptomoedas em busca de dinheiro, a Andariel se concentra em espionagem e sabotagem, e a Lazarus, mais abrangente, lida com os ataques que ganham destaque na mídia. Está ativo de alguma forma desde aproximadamente 2009, o que o torna um dos grupos de ameaças cibernéticas mais antigos e com maior motivação financeira do mundo.
O que diferencia o Lazarus da maioria dos hackers estatais é a motivação. Rússia e China, em sua maioria, espionam. A Coreia do Norte rouba para se financiar. Em setembro de 2019, o Departamento do Tesouro dos EUA sancionou formalmente o Lazarus e dois grupos relacionados, BlueNoroff e Andariel, classificando-os como braços do Estado norte-coreano. Uma empresa de segurança resumiu o grupo de forma concisa: um sindicato do crime com uma bandeira.
Da Sony ao WannaCry: Os primeiros anos
Antes das criptomoedas, a Lazarus construiu sua reputação no caos. O sucesso de 2014 contra a Sony Pictures Entertainment, a Guardians of Peace, apagou sistemas, vazou filmes inéditos e expôs anos de e-mails internos. O motivo aparente? Uma comédia que satirizava o líder da Coreia do Norte. Barulhenta, política, destrutiva. Ainda não lucrativa.
O dinheiro veio em seguida. Em 2016, o grupo quase realizou um dos maiores roubos a bancos da história, disparando mensagens SWIFT fraudulentas para drenar US$ 951 milhões da conta do Banco de Bangladesh no Federal Reserve de Nova York. Um erro de digitação e uma dose de sorte frustraram a maior parte do plano. Cerca de US$ 81 milhões ainda escaparam. Esse único ataque cibernético provou que o Lazarus podia roubar instituições financeiras usando apenas um teclado, e transformou o cibercrime patrocinado por Estados em um verdadeiro centro de lucro.
Em seguida, veio o WannaCry em 2017, um ransomware que congelou centenas de milhares de máquinas em cerca de 150 países e derrubou hospitais no Reino Unido. Foi um ataque desleixado e que mal rendeu algum lucro. Mas demonstrou seu alcance. Assim, quando o mercado de criptomoedas amadureceu, a Lazarus já tinha uma década de experiência movimentando dinheiro que não deveria tocar.
Por que hackers norte-coreanos têm como alvo as criptomoedas?
Para um regime isolado do sistema bancário global, as criptomoedas são quase convenientes demais. Sanções podem congelar uma conta bancária e bloquear uma transferência SWIFT, mas ninguém pode impedir que uma carteira receba fundos. As criptomoedas atravessam fronteiras em minutos, são liquidadas de forma irreversível e podem ser manipuladas por meio de ferramentas criadas para apagar o rastro.
Então a Coreia do Norte mudou de estratégia. Por que arriscar um assalto a banco que uma simples ligação telefônica pode reverter quando explorar uma vulnerabilidade em uma ponte bancária rende dez vezes mais e não pode ser recuperado? A vantagem econômica é enorme para o atacante. Uma transferência SWIFT malsucedida é congelada e devolvida; um esvaziamento bem-sucedido de uma ponte bancária é definitivo no momento em que o bloco é confirmado. Não há contraparte para contatar, não há estorno, nenhum tribunal com jurisdição sobre uma carteira digital. Investigadores e a ONU agora estimam que criptomoedas roubadas financiam uma grande parte da receita externa do país e uma parcela significativa de seu programa de armas, embora essas porcentagens exatas provenham de avaliações de inteligência e não de dados públicos.
Os maiores roubos de criptomoedas do Lazarus Group
Há algum tempo, os números deixaram de soar como crimes. Agora, parecem um orçamento nacional. O maior roubo isolado, o ataque à Bybit, é maior do que os vários seguintes combinados e maior do que qualquer roubo a banco não relacionado a criptomoedas na história.
| Assalto | Data | Quantia | Método |
|---|---|---|---|
| Bybit | Fevereiro de 2025 | Aproximadamente US$ 1,5 bilhão | Interface de assinatura multisig manipulada |
| Ponte Ronin (Axie) | Março de 2022 | Aproximadamente US$ 625 milhões | Chaves privadas do validador roubadas |
| DMM Bitcoin | Maio de 2024 | Aproximadamente US$ 308 milhões | Recrutador falso, funcionário comprometido |
| WazirX | Julho de 2024 | Aproximadamente US$ 235 milhões | violação da infraestrutura da carteira |
| Horizonte da Harmonia | Junho de 2022 | Aproximadamente US$ 100 milhões | Chaves da ponte comprometidas |
| Carteira Atômica | Junho de 2023 | >US$ 100 milhões | atualização de software maliciosa |
Observe atentamente e os mesmos pontos fracos continuam reaparecendo. O roubo da Ronin funcionou porque os atacantes obtiveram controle de cinco das nove chaves de validação que protegiam a ponte, o suficiente para aprovar seus próprios saques, após comprometerem um engenheiro sênior. O ataque da Bybit foi mais sutil: em vez de quebrar a carteira fria , os atacantes corromperam a interface que os signatários viam, de modo que a equipe aprovou uma transferência que parecia rotineira, mas era tudo menos isso. Em ambos os casos, a criptografia resistiu. Os humanos e o software ao seu redor, não.
Os valores variam conforme a fonte, pois geralmente são atrelados ao preço do token no dia, e a Lazarus tende a roubar ativos voláteis como o ether. O valor do roubo da Ronin varia de cerca de US$ 540 milhões a US$ 625 milhões, dependendo de quem faz a contagem, e o da Bybit é cotado entre US$ 1,4 bilhão e US$ 1,5 bilhão. O padrão subjacente é consistente: atacar pontes , corretoras de criptomoedas e softwares de carteira, os pontos de estrangulamento onde uma única falha libera uma fortuna.
Como se desenrola um ataque hacker ao Lazarus Group
Eis a parte que surpreende as pessoas. Esses roubos recordistas raramente começam com alguma façanha exótica e imparável. Começam com alguém sendo enganado. A parte inteligente e irreversível vem depois, quando o dinheiro precisa desaparecer.
A forma de entrar: empregos falsos e phishing.
O grupo Lazarus é paciente e sociável. Seu plano de ação de longa data, frequentemente chamado de Operação Emprego dos Sonhos, consiste em se passar por um recrutador no LinkedIn ou em uma comunidade de desenvolvedores e oferecer um emprego dos sonhos em uma empresa que parece real. Em algum momento da entrevista, um "teste de programação" ou um PDF é enviado, e abri-lo instala um malware. Acredita-se que o roubo de Bitcoins da DMM tenha começado exatamente dessa forma, com um falso recrutador comprometendo um funcionário de uma empresa ligada ao grupo. A mesma abordagem tem sido usada contra desenvolvedores em todo o setor por meio de pacotes npm e repositórios do GitHub infectados, disfarçados de exemplos de trabalho legítimos. Nenhum firewall impede um engenheiro que foi informado de que o arquivo é uma tarefa de trabalho, e é exatamente por isso que a engenharia social, e não alguma vulnerabilidade inviolável, abre a maioria dessas portas.
Falsos funcionários de TI dentro do prédio
A tática mais recente é ainda mais ousada: em vez de invadir, a Coreia do Norte se candidata à vaga. Milhares de seus profissionais de TI se fazem passar por desenvolvedores remotos, usando identidades americanas roubadas e servidores com laptops operados por intermediários locais, de modo que o trabalhador pareça estar acessando o sistema do Texas em vez de Pyongyang. Uma vez contratados por empresas de tecnologia e criptomoedas ocidentais, eles enviam seus salários para casa e, às vezes, instalam sistemas de acesso para roubo posterior. O Departamento de Justiça dos EUA investigou ambos os lados desse esquema, incluindo um processo em dezembro de 2024 que acusou quatorze norte-coreanos e ações em 2025 contra os intermediários baseados nos EUA que hospedavam os laptops. É espionagem disfarçada de folha de pagamento.
Sacando dinheiro: misturadores e pontes
Roubar criptomoedas é metade do trabalho; a outra metade, mais difícil, é gastá-las. O grupo Lazarus utiliza serviços de mistura de criptomoedas como o Tornado Cash, sancionado pelos EUA em 2022, e o Sinbad, sancionado no final de 2023, para movimentar o dinheiro entre blockchains através de pontes e trocas entre ativos, obscurecendo o rastro antes de sacar os fundos em corretoras com verificações frágeis. O processo é rápido e automatizado; após o caso Bybit, investigadores observaram os fundos se dispersarem por centenas de carteiras em questão de horas. Trata-se de lavagem de dinheiro em escala industrial, e funciona com frequência suficiente para que o regime continue a praticá-la.
Quanto o Grupo Lázaro roubou?
Ao analisarmos os números com mais calma, torna-se difícil assimilar todos. De acordo com a Chainalysis , hackers ligados à Coreia do Norte roubaram aproximadamente US$ 2,02 bilhões em criptomoedas em 2025, um aumento de 51% em relação ao ano anterior, elevando o total histórico para mais de US$ 6,75 bilhões. Em 2025, o país foi responsável por cerca de 76% de todo o valor roubado de serviços de criptomoedas no mundo. Um único país, três quartos do prejuízo.
| Período | Roubado (cripto) | Fonte |
|---|---|---|
| 2024 (confirmado pelos governos) | ~US$ 659 milhões | declaração conjunta EUA/Japão/Coreia do Sul |
| 2024 (atribuição completa) | ~US$ 1,19 bilhão | Chainalysis / Mandante |
| 2025 | Aproximadamente US$ 2,02 bilhões | Análise em cadeia |
| De todos os tempos (limite inferior) | Aproximadamente US$ 6,75 bilhões | Análise em cadeia |
Os números de 2024 divergem porque medem coisas diferentes: governos confirmaram alguns roubos específicos, enquanto empresas de análise atribuíram mais casos por meio de rastreamento on-chain. De qualquer forma, a tendência aponta para um aumento. Uma revisão do Painel de Especialistas da ONU contabilizou aproximadamente 58 ataques suspeitos de criptoataques norte-coreanos, totalizando cerca de US$ 3 bilhões, entre 2017 e 2023, antes mesmo dos registros de 2024 e 2025 serem estabelecidos. O mesmo órgão relatou que esse dinheiro ajuda a financiar o programa de armas da Coreia do Norte, uma alegação baseada em informações de inteligência de países membros, e não em contas auditadas, mas que reformula cada violação de exchange como algo mais próximo de um evento geopolítico.
Sanções, Acusações e a Resposta
Então, o que alguém pode realmente fazer a respeito? Nomeá-los, sancioná-los, indiciá-los. Prendê-los, quase nunca, porque eles ficam em Pyongyang.
A documentação já está extensa. O Departamento do Tesouro incluiu o Lazarus em sua lista negra em 2019 e, em seguida, foi atrás dos intermediários que ele utilizava, Tornado Cash e Sinbad. Os promotores também entraram na onda, acusando hackers já em 2021 e, mais recentemente, as pessoas que administram o esquema de falsos trabalhadores de TI. Boa sorte para quem for cumprir os mandados.
Recuperar o dinheiro é ainda mais raro. Após o roubo da Ronin, os investigadores recuperaram uma parte dos fundos com a ajuda do FBI e da Chainalysis. Uma parte. O resto havia desaparecido. E as sanções têm o hábito de apenas transferir o problema: coloque a Tornado Cash na lista negra e o dinheiro vai parar nas mãos de Sinbad; acerte Sinbad e o grupo encontra o próximo alvo. Cada movimento torna o resgate mais caro e mais complicado. Nada disso impede o roubo na origem. Não se pode extraditar um governo.
Será possível deter o Grupo Lázaro?
Sinceramente, não apenas com sanções. A defesa que importa acontece antes da violação e recai sobre as corretoras e os usuários, e não sobre os promotores. Isso significa aprovações por hardware para grandes transferências, tratar um recrutador não solicitado como uma ameaça em vez de uma oportunidade e recusar que um único laptop comprometido assine um acordo que libere fundos. Significa também verificar o que você está realmente assinando em vez de confiar em uma tela, exatamente a falha que custou à Bybit mais de um bilhão de dólares. A assimetria é brutal: os defensores precisam estar certos sempre, enquanto a Lazarus precisa de apenas um engenheiro para abrir um arquivo. O objetivo realista não é eliminar o grupo, mas tornar cada roubo mais lento, menor e mais difícil de lavar, para que a próxima oportunidade de roubar bilhões de dólares simplesmente não exista.
Por que o Lazarus Group é importante para as criptomoedas?
Lazarus pegou as características das quais as criptomoedas mais se orgulham — sua natureza sem fronteiras e irreversível — e as transformou em uma ferramenta de financiamento estatal. Essa é a lição incômoda: o mesmo design que liberta o dinheiro dos bancos também o liberta da recuperação. A segurança das criptomoedas não é mais apenas uma preocupação pessoal com suas próprias chaves; tornou-se uma questão de segurança nacional para vários países simultaneamente. Cada ponte não auditada e cada corretora com controles frouxos é um item potencial em um orçamento para mísseis. A questão que vale a pena analisar é como um sistema financeiro aberto e sem permissão se defende de um oponente paciente e bem financiado que trata o roubo em larga escala como uma questão de política externa.
