Você pode encontrar clientes de alto patrimônio líquido que são possivelmente "mercenários" para hackers norte-coreanos

Autor original: Nicky, Foresight News

Recentemente, Drift Protocolo divulgou os resultados da última investigação sobre o incidente de ataque, indicando que essa operação foi realizada pelo mesmo ator de ameaça envolvido no incidente de hacking da Radiant Capital em outubro de 2024, com um alto grau de semelhança nos fluxos de fundos na cadeia e nos métodos operacionais. A empresa de segurança Mandiant atribuiu o ataque à Radiant Capital ao UNC4736, uma organização ligada ao governo norte-coreano.

Após o ataque ao Drift, os hackers acumularam 130.293 ethereum-eth-143">ETH, no valor de aproximadamente 266 milhões de dólares. O incidente afetou 20 protocolos, incluindo Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0, entre outros. A Prime Numbers Fi estimou perdas superiores a 10 milhões de dólares, a Gauntlet cerca de 6,4 milhões de dólares, a Neutral Trade cerca de 3,67 milhões de dólares e a Elemental DeFi cerca de 2,9 milhões de dólares, com a Elemental expressando esperanças de receber uma compensação parcial do Drift.

O Drift afirmou que o ataque foi uma operação meticulosamente planejada que durou seis meses. No outono de 2025, um grupo que afirmava ser uma empresa de negociação quantitativa abordou os colaboradores do Drift em uma grande conferência de criptomoedas. Com base na cronograma, as principais conferências de criptomoedas durante este período incluíram a Coreia Blockchain Semana 2025 (22 a 28 de setembro de 2025, realizada em Seul), TOKEN2049 Singapura (1 a 2 de outubro de 2025, realizada em Singapura), Binance Blockchain Week Dubai 2025 (30 a 31 de outubro de 2025, realizada em Dubai) e Solana Breakpoint Dubai (20 a 21 de novembro de 2025, realizado em Dubai).

Os oficiais do Drift afirmaram que eram tecnicamente qualificados, tinham históricos profissionais verificáveis e estavam muito familiarizados com as operações do Drift. Ambas as partes estabeleceram um grupo no Telegram e participaram de discussões substanciais sobre estratégias de negociação e integração do tesouro nos meses seguintes.

De dezembro de 2025 a janeiro de 2026, este grupo se estabeleceu oficialmente em um tesouro ecológico no Drift, preenchendo os formulários de detalhes da estratégia conforme exigido. Eles realizaram várias discussões de trabalho com vários colaboradores, levantaram questões detalhadas sobre o produto e depositaram mais de US$ 1 milhão de seus próprios fundos. Por meio de operações pacientes e ordenadas, eles estabeleceram uma presença comercial totalmente funcional dentro do ecossistema do Drift.

As discussões de integração continuaram até março deste ano. Vários colaboradores do Drift se encontraram pessoalmente com esses indivíduos novamente em várias conferências internacionais. Nesse momento, ambas as partes haviam estabelecido uma relação de cooperação de quase seis meses, e a outra parte não era mais uma estranha, mas uma parceira com a qual haviam trabalhado. Durante este período, eles compartilharam links para projetos, ferramentas e aplicativos que alegavam estar construindo, o que é uma prática comum entre as empresas de negociação.

Após o ataque de 2 de abril, os investigadores realizaram um exame forense abrangente dos dispositivos, contas e registros de comunicação afetados, com interações com esta equipe de negociação se tornando o caminho de intrusão mais provável. No momento do ataque, os registros de bate-papo do Telegram e o malware da outra parte haviam sido completamente apagados.

A investigação revelou que os atacantes podem ter se infiltrado nos dispositivos dos colaboradores do Drift por três métodos. Um colaborador pode ter sido comprometido após clonar o repositório de código compartilhado pela equipe, que era disfarçado como o front-end para a implantação de seu tesouro. Outro colaborador foi induzido a baixar um aplicativo TestFlight, que a outra parte alegou ser seu produto de carteira. Em relação ao caminho de infiltração do repositório de código, a comunidade de segurança havia alertado repetidamente de dezembro de 2025 a fevereiro de 2026 sobre vulnerabilidades conhecidas no VSCode e Cursor, onde simplesmente abrir um arquivo, pasta ou repositório no editor poderia executar silenciosamente código arbitrário sem cliques do usuário ou qualquer solicitação. Uma análise forense completa do hardware afetado ainda está em andamento.

Esta operação está ligada ao mesmo ator de ameaça envolvido no incidente de hacking da Radiant Capital em outubro de 2024. A Mandiant atribuiu o ataque à Radiant à UNC4736, uma organização patrocinada pelo estado da Coreia do Norte, também conhecida como AppleJeus ou Citrine Sleet. A atribuição é baseada em dois aspectos: os fluxos de fundos on-chain indicam que os fundos usados para planejar e testar essa operação podem ser rastreados até os atacantes do Radiant; operacionalmente, as disfarces usadas nesta ação mostram sobreposições identificáveis com atividades conhecidas relacionadas à Coreia do Norte.

A Drift apontou que os indivíduos que apareceram nas reuniões offline não eram de nacionalidade norte-coreana. Atores de ameaças de alto nível da Coreia do Norte normalmente estabelecem relações presenciais por meio de intermediários de terceiros.

O UNC4736 é um grupo de atores de ameaças rastreados pela Mandiant, com avaliações de alta confiança que o ligam ao Gabinete Geral de Reconhecimento da Coreia do Norte. Esta organização tem continuamente como alvo criptomoeda e indústrias fintech desde 2018, roubando digital ativos através de ataques à cadeia de suprimentos, engenharia social e entrega de malware.

Os principais incidentes de ataque conhecidos incluem o ataque à cadeia de suprimentos da 3CX em março de 2023, o roubo de 50 milhões de dólares da Radiant Capital em 2024 e o roubo de 285 milhões de dólares da Drift, com dados estatísticos indicando que a organização roubou aproximadamente 335 milhões de dólares no total.

Este grupo é amplamente considerado um subconjunto do Grupo Lazarus, focado em cibercrime motivado financeiramente. O Grupo Lazarus roubou aproximadamente 1,5 bilhão de dólares em ativos da Bybit em fevereiro de 2025, marcando o maior roubo individual na história das criptomoedas.

O Grupo Lazarus é um grupo de atores de ameaças cibernéticas apoiados pelo governo norte-coreano, pertencente ao Reconnaissance General Bureau, que inclui vários subgrupos, como UNC4736 (ou seja, AppleJeus/Citrine Sleet) e TraderTraitor. De acordo com a Chainalysis, hackers norte-coreanos roubaram aproximadamente 6,75 bilhões de dólares em criptomoedas através de grupos como o Lazarus, com mais de 2 bilhões de dólares apenas em 2025.

A organização foi responsável por vários incidentes de ataque sensacionais em todo o mundo: o hack da Sony Pictures Entertainment em 2014, o roubo de US$ 81 milhões do banco central de Bangladesh em 2016, o surto global de ransomware WannaCry em 2017, os roubos de US$ 620 milhões e US$ 100 milhões da Ronin Bridge e Harmony Horizon Bridge em 2022 e ataques à Atomic Wallet e Stake em 2023. Em outubro de 2024, o UNC4736 atacou a Radiant Capital, roubando US$ 50 milhões; em fevereiro de 2025, o TraderTraitor roubou um recorde de US$ 1,5 bilhão da Bybit; e em abril de 2026, eles completaram um ataque de US$ 285 milhões ao Drift Protocol.

O Lazarus levou o valor total do roubo de criptomoedas da Coreia do Norte para US$ 6,75 bilhões. Os métodos de ataque passaram de destruição inicial para infiltração de longo prazo, engenharia social, ataques à cadeia de suprimentos e malwares. contrato inteligente/infiltração de múltiplas assinaturas.

A declaração da Drift observou que a investigação revelou que as identidades usadas em ações direcionadas a terceiros tinham histórias pessoais e profissionais completas, incluindo experiência de trabalho, qualificações públicas e redes profissionais. Os indivíduos vistos pelos colaboradores do Drift offline passaram meses a construir perfis de identidade que poderiam resistir a escrutínio num contexto de cooperação empresarial.

O investigador de segurança Taylor Monahan afirmou anteriormente que trabalhadores de TI norte-coreanos têm estado a infiltrar-se em empresas de criptomoedas e projetos DeFi há pelo menos sete anos, com mais de 40 plataformas DeFi a terem trabalhadores de TI norte-coreanos envolvidos em várias fases. O incidente do Drift indica ainda que os atacantes evoluíram da infiltração remota para operações de inteligência direcionadas cara a cara, que duram meses.

O Drift afirmou que continuará a cooperar com as autoridades policiais, parceiros forenses e equipas do ecossistema, com mais detalhes a serem divulgados após a conclusão da investigação. Todas as funções do protocolo restantes foram congeladas, as carteiras roubadas foram removidas das multi-assinaturas e os endereços dos atacantes foram assinalados em várias bolsas e operadores de pontes entre cadeias.