Hackers norte-coreanos se passaram por VCs para roubar US$ 34 milhões de uma startup de criptografia, afirma o FBI #CriptoNews

O Grupo Lazarus, uma equipe de hackers apoiados pelo governo norte-coreano por trás do ataque de ransomware WannaCry, tem uma nova tática, de acordo com o FBI. Depois de arrecadar mais de US$ 3 bilhões em roubos de criptomoedas anteriores, seus hackers agora estão se passando por capitalistas de risco para obter tempo e acesso a executivos de criptomoedas, a fim de instalar códigos maliciosos.

Grupos de hackers ligados à Coreia do Norte já se passaram por recrutadores ou candidatos a emprego para estabelecer uma videochamada com funcionários de empresas de criptografia e usar a reunião para enviar arquivos ou códigos infectados a seus alvos. Isso ajudou as tripulações ligadas a Pyongyang a roubar mais de 3 mil milhões de dólares desde 2017. Mas fazer-se passar por VCs parece ser uma nova estratégia.

O FBI declarou em um pedido de confisco apresentado no Tribunal Distrital dos Estados Unidos para o Distrito de Columbia em novembro que o grupo Lazarus da Coreia do Norte teria supostamente roubado mais de US$ 34 milhões em tokens de uma startup de criptografia, fingindo ser uma empresa “proeminente” com sede em Hong Kong. VC conhecido por investir em criptografia. Os hackers usaram uma conta falsa do Telegram para entrar em contato com o CEO da startup em novembro de 2023. A pessoa representada pelos hackers norte-coreanos não foi identificada pelo FBI.

“Durante essas comunicações, o CEO clicou em um link para participar de uma videoconferência com o indivíduo que se dizia ser VC, mas o link não pareceu funcionar. O impostor então enviou ao CEO um arquivo de script para resolver o problema, que o CEO executou”, disse Justin M. Vallese, agente especial do FBI, no processo judicial.

O script instalou um malware conhecido como CryptoMimic que deu aos hackers acesso remoto a um dos computadores da startup. Lá, os hackers supostamente encontraram um texto que continha as chaves privadas de 5.000 endereços contendo tokens criptográficos no valor de mais de US$ 17 milhões. “Os perpetradores aparentemente apagaram este arquivo do computador do funcionário, eliminando o acesso da empresa”, disse Vallese.

O FBI não identificou o nome da startup em seu processo judicial, mas afirmou que uma das criptomoedas roubadas no roubo de março de 2024 era um token chamado NFP lançado por uma startup de criptografia apoiada pela Binance, NFPrompt, que fabrica NFTs gerados por IA. A empresa tuitou em 15 de março que “um grupo de hackers comprometeu algumas carteiras, incluindo as dos administradores de contratos do NFP”, acompanhado por uma ilustração de um pinguim com um sobretudo e um distintivo de xerife.

NFPPrompt não respondeu a um pedido de comentário. O FBI se recusou a comentar.

O FBI vinculou o malware CryptoMimic usado no ataque a servidores localizados na Coreia do Norte e rastreou tokens roubados da inicialização até contas nas exchanges de criptomoedas Binance e MEXC. As contas foram congeladas e agora US$ 3,2 milhões em criptomoedas estão sob custódia do FBI.

O processo judicial não revela como os US$ 17 milhões restantes alegados como roubados foram perdidos ou o que aconteceu com o restante da criptomoeda desaparecida.

O FBI emitiu um alerta em setembro de que a Coreia do Norte estava “alvejando agressivamente” empresas de criptografia usando táticas de engenharia social. “Os esquemas de engenharia social norte-coreanos são complexos e elaborados, muitas vezes comprometendo vítimas com perspicácia técnica sofisticada”, alertou o FBI na sua atualização. Monitores de sanções das Nações Unidas disseram no início deste ano que os ataques cibernéticos entre 2017 e 2023 focados em empresas de criptografia renderam à Coreia do Norte mais de US$ 3 bilhões, O Guardião relatado.

No passado, os hackers norte-coreanos se passaram por recrutadores ou candidatos a emprego para ganhar tempo, acesso e conhecimento dos alvos. Forbes relatou no início deste mês que US$ 16 milhões foram roubados da bolsa de criptomoedas Rain.com, com sede no Bahrein, por hackers do Grupo Lazarus que entraram em contato com sua equipe pelo LinkedIn. Às vezes, os desenvolvedores norte-coreanos até conseguem empregos em empresas que usam identidades falsas e redes privadas virtuais para disfarçar a sua localização.

Pesquisadores de segurança da Microsoft e da Recorded Future alertaram no ano passado que os hackers norte-coreanos atualizaram suas táticas para incluir se passarem por capitalistas de risco e banqueiros de investimento. O pedido judicial do FBI para recuperar tokens roubados do NFPPrompt é o primeiro incidente relatado de um hack bem-sucedido usando a tática.