Nos últimos anos, o regime da Coreia do Norte encontrou uma forma eficaz e discreta de financiar seu programa nuclear: o roubo de criptomoedas. Ao invés de depender de recursos tradicionais como carvão ou impostos, Pyongyang recorre a um dos grupos hackers mais temidos do mundo, o Lazarus Group, para atacar grandes plataformas de criptomoeda e roubar bilhões de dólares. Um exemplo notável ocorreu em 18 de julho de 2024, quando o Lazarus invadiu a maior exchange de criptomoedas da Índia, a WazirX, e, em menos de uma hora, desapareceu com mais de $200 milhões, conduzindo a operação com a precisão de uma ação militar.
Esse roubo foi apenas um de muitos executados pelo Lazarus, que ao longo dos últimos dez anos, roubou mais de $6 bilhões. Segundo informações do Wall Street Journal, os recursos obtidos em tais ataques são fundamentais para financiar o regime de Kim Jong Un e, especialmente, seu programa nuclear, que segue em avanço, mesmo com as duras sanções internacionais impostas sobre o país.
A organização por trás desses ataques é formada pelos indivíduos mais talentosos de Pyongyang. Benedict Hamilton, diretor da Kroll, empresa que auxilia a WazirX a rastrear os fundos roubados, afirmou que a rapidez e a automação nas operações indicam que os valores provavelmente já foram convertidos em dinheiro. Com metade de seus ativos comprometidos, a exchange foi forçada a interromper suas atividades, embora tenha declarado que está trabalhando para recuperar os fundos dos usuários e reabrir a plataforma o mais rápido possível.
Os membros do Lazarus não são apressados. Eles são meticulosos, gastando meses ou até anos em cada ataque, preparando o terreno cuidadosamente. A primeira etapa de suas operações muitas vezes envolve a criação de perfis falsos e o monitoramento das redes sociais de funcionários-alvo, como Instagram, LinkedIn e Facebook.
Com essas informações, eles criam fraudes personalizadas para enganar as vítimas e fazê-las clicar em links contaminados. Alguns membros do Lazarus até assumem identidades falsas para conseguir empregos remotos em empresas de tecnologia dos Estados Unidos, obtendo acesso a sistemas internos de grandes corporações.
Essas ações são conduzidas de forma altamente organizada, com táticas de campanha militar. Em fevereiro de 2024, o Lazarus conseguiu seu maior roubo até agora: $1.5 bilhões da Bybit, uma das maiores exchanges de criptomoedas do mundo. De acordo com dados da Chainalysis, em 2024, mais de 60% de todas as criptomoedas roubadas globalmente tiveram origem em ataques atribuídos a grupos associados à Coreia do Norte.
Pyongyang criou uma verdadeira “força cibernética”, com mais de 8.000 hackers em tempo integral, organizados em unidades militares e apoiados por diversas divisões menores. Esses hackers são selecionados desde jovens, com grande aptidão para matemática e ciências, e recebem treinamento especializado para atuar exclusivamente nesse setor, sem outras ocupações paralelas.
Eles são bem remunerados em comparação à maioria da população, mas vivem sob constante pressão. De acordo com Elma Duval, co-autora de um relatório da organização de defesa PScore, ex-trabalhadores de TI norte-coreanos afirmam que hackers falhos podem sofrer punições físicas severas.
A visão do ex-ditador Kim Jong Il de que as futuras guerras seriam travadas por meio de computadores tornou-se uma estratégia nacional sob o comando de seu filho, Kim Jong Un. À medida que as fontes de renda tradicionais, como negócios com armas, contrabando de carvão e trabalho forçado no exterior, foram severamente afetadas pelas sanções internacionais, a Coreia do Norte se viu obrigada a procurar novas formas de arrecadar dinheiro. Estima-se que o país precise de cerca de $6 bilhões por ano, incluindo centenas de milhões para sustentar seu programa nuclear.
O roubo de criptomoedas se mostrou uma solução eficaz: é rápido, barato e difícil de rastrear. Embora a Coreia do Norte nunca tenha assumido publicamente a autoria desses ataques, autoridades dos Estados Unidos identificaram claramente a assinatura digital do Lazarus, com malwares e carteiras de criptomoedas reutilizadas em diferentes ataques.
Apesar dos esforços para apagar seus rastros, os “dedos” digitais do grupo são sempre encontrados. O Lazarus é o mesmo grupo responsável pelos famosos ataques, como o roubo ao Banco Central de Bangladesh em 2016, o ataque de ransomware WannaCry em 2017, e o hack da Sony em 2014.
