Os piratas informáticos da Coreia do Norte atingiram um marco devastador em 2025: US$2 mil milhões roubados

Os hackers apoiados pela Coreia do Norte encerraram 2025 com a sua maior colheita de criptomoedas já registada. O número não é apenas um valor: US$2 mil milhões em roubos representam um aumento de 51% em relação a 2024, elevando o total acumulado da República Popular Democrática da Coreia para US$6.750 milhões. Segundo o relatório mais recente da Chainalysis, estamos perante uma evolução crítica no panorama de ameaças cibernéticas globais.

O que torna estes dados especialmente alarmantes não é apenas a magnitude, mas o padrão subjacente: menos ataques, mas exponencialmente mais destrutivos.

A mudança para ataques de envergadura catastrófica

Nos anos anteriores, os cibercriminosos diversificavam os seus objetivos. Apontavam a múltiplos alvos pequenos e médios em busca de volume. Os atores da Coreia do Norte jogaram um jogo completamente diferente em 2025.

Foram responsáveis por 76% de todas as violações dirigidas a serviços de nível empresarial, a percentagem mais alta na história dos registos. Isto significa que praticamente toda grande brecha a serviços criptográficos centralizados levava a assinatura digital de Pyongyang. Enquanto outros grupos criminosos optam pela quantidade, estes atores dispõem de recursos, especialização e paciência para lançar operações poucas, mas monumentais.

A mudança é estratégica. Um ataque massivo a uma plataforma grande gera impacto geopolítico, cria pressão regulatória e paralisa mercados. A economia do crime cibernético da Coreia do Norte tornou-se industrial.

Máquinas de dinheiro sofisticadas: como funcionam as operações de lavagem

Depois de roubar, vem a conversão. E aqui é onde a sofisticação operacional da Coreia do Norte se torna visível.

Ao contrário de outros criminosos que realizam transferências grandes e facilmente rastreáveis na cadeia, estes atores fragmentam os seus movimentos em porções cuidadosas, tipicamente abaixo de US$500.000. É um jogo de paciência: múltiplas transações pequenas em vez de uma grande e óbvia.

As carteiras vinculadas à Coreia do Norte mostram uma dependência notável de três canais específicos:

Serviços de troca em chinês - Plataformas regionais que funcionam como portas de entrada locais
Pontes descentralizadas e serviços de mistura - Ferramentas técnicas que quebram a rastreabilidade de fundos
Garantias e corretores regionais - Intermediários que facilitam a conversão em dinheiro

Note o que não usam: protocolos DeFi, trocas descentralizadas, plataformas peer-to-peer. A razão é clara: limitações estruturais e uma dependência de facilitadores regionais específicos em vez de acesso à infraestrutura financeira global completa.

A análise temporal da Chainalysis revela um padrão surpreendente: os roubos grandes seguem uma janela de lavagem de aproximadamente 45 dias. Nesse período, os fundos passam por diferentes fases, desde a ofuscação imediata até à integração final. Embora não seja universal, a consistência desta linha do tempo entre múltiplas operações sugere processos altamente padronizados.

A inteligência artificial como superpotência criminosa

Como é que a Coreia do Norte executa esta escala de operações com tamanha precisão? A resposta, segundo Andrew Fierman, chefe de inteligência de segurança nacional na Chainalysis, aponta para um fator-chave: inteligência artificial.

“A Coreia do Norte facilita a lavagem de roubos de criptomoedas com uma consistência e fluidez indicativas do uso de IA”, explicou. O mecanismo de lavagem estrutura fundos através de misturadores, pontes e protocolos desde as fases iniciais, criando um fluxo de trabalho que combina múltiplas ferramentas de conversão.

“Para executar este tipo de eficácia ao roubar volumes tão grandes, a Coreia do Norte precisa de uma rede de lavagem massiva juntamente com mecanismos otimizados, que provavelmente se manifestam no uso de IA”.

Isto não é paranoia tecnológica. É uma observação sobre a infraestrutura operacional: a velocidade de conversão, a precisão dos montantes, a consistência temporal e a sofisticação da segurança operacional alinham-se com automação inteligente.

Um panorama polarizado de ameaças cibernéticas

Entretanto, o resto do panorama criminoso cripto mostra um contraste interessante. Os compromissos de carteiras individuais representaram apenas 20% do valor total roubado em 2025, caindo de 44% em 2024. Embora o número de incidentes contra utilizadores individuais aumentou para 158.000, o valor médio por vítima caiu 52% para um total de US$713 milhões.

Tradução: os atacantes estão a apontar para mais pessoas, mas a roubar menos de cada uma.

A Coreia do Norte encontra-se no extremo oposto do espectro: roubos massivos e raríssimos, mas catastróficos. A maioria dos grupos opera onde há volume de objetivos pequenos. Os atores da Coreia do Norte operam onde há impacto máximo.

O que isto significa para o futuro

À medida que 2025 se encerra e avança-se para 2026, os esforços da Coreia do Norte em hacking de criptomoedas não mostram sinais de diminuir. Os dados sugerem um ambiente de ameaças cada vez mais polarizado: roubos de baixo valor a indivíduos num extremo, brechas raras, mas devastadoras, ao nível de serviço no outro, com a Coreia do Norte firmemente no centro destas últimas.

Para as equipas de conformidade e aplicação da lei, estas descobertas oferecem um farol: a janela de 45 dias de lavagem fornece uma oportunidade temporária para interceptar fundos antes da sua conversão final. Mas requer coordenação rápida entre plataformas, jurisdições e analistas especializados.

Para as plataformas de criptomoedas, a mensagem é clara: quando o atacante é uma nação-estado com recursos industriais de cibersegurança e acesso à inteligência artificial, as defesas convencionais podem não ser suficientes.