Uma investigação feita por ZachXBT, famoso detetive de criptomoedas, aponta que até 920 hackers da Coreia do Norte podem estar infiltrados, trabalhando em empresas do setor.
Sua conclusão é que essas startups estão fadadas ao fracasso. Isso porque as táticas usadas pelos hackers norte-coreanos não são sofisticadas e, além disso, possuem diversas bandeiras vermelhas.
Em abril, um relatório do Google mostrou que o grupo se espalhou pelo mundo. O principal foco são países europeus, mas até mesmo o Brasil aparece como um dos destinos.
Investigador revela possível número de hackers norte-coreanos trabalhando na indústria
Iniciando seu texto, ZachXBT revela que hackers-coreanos receberam US$ 16,6 milhões (R$ 90 milhões) em criptomoedas desde o início do ano. Isso significa US$ 2,76 milhões por mês.
Estimando que os salários variam entre 3 a 5 mil dólares, o investigador aponta que 345 a 920 hackers da Coreia do Norte estão empregados em empresas de outros países.
“Aqui está uma análise de um dos seis grupos que venho monitorando, no qual consegui atribuir 8 diferentes trabalhadores de TI da Coreia do Norte que conseguiram cargos em mais de 12 projetos. Rastreei os endereços de pagamento da tabela até dois endereços de consolidação.”
Em outros tuítes, Zach revelou alguns rostos.
Como exemplo, nota que ‘Sandy Nguyen’, que se apresenta como um engenheiro de web3, já foi flagrado em um evento na Rússia segurando uma bandeira da Coreia do Norte.
Empresas estão sendo negligentes, aponta ZachXBT
Dentre os riscos oferecidos pela contratação desses hackers estão vazamento de dados, bem como inserção de códigos maliciosos que levam a grandes roubos. Segundo Zach, o problema está nas próprias empresas, que ignoram diversos alertas.
Isso inclui a recusa de entrevistas presenciais, mesmo que os hackers afirmem que moram na mesma cidade da empresa, uso de IPs da Rússia, mudanças de nomes de usuário no GitHub, LinkedIn deletado, entre outros.
“Eles normalmente assumem múltiplos cargos ao mesmo tempo e frequentemente são demitidos por baixo desempenho, então a rotatividade é alta.”
Até mesmo a Circle, emissora da stablecoin USDC, é citada na investigação devido a sua falta de preparação contra ataques na indústria.
Finalizando, Zach aponta que muitos hackers estão usando corretoras de criptomoedas americanas para lavar esses fundos. No entanto, offshores também são escolhas populares.
“Acredito que quando uma equipe contrata múltiplos trabalhadores de TI da Coreia do Norte, isso é um bom indicativo de que a startup será um fracasso”, finalizou Zach. “Diferente de outras ameaças à indústria, eles têm pouca sofisticação, então isso é, em grande parte, resultado da própria negligência da equipe.”
9/ I believe that when a team hires multiple DPRK ITWs it is a decent indicator for determining that startup will be a failure.
Unlike other threats to the industry DPRK ITWs have little sophistication so it’s mainly the result of a team’s own negligence.
I think the… pic.twitter.com/JkoJp6ioGe
— ZachXBT (@zachxbt) July 2, 2025
Embora a investigação esteja voltada apenas para a indústria de criptomoedas, Zach acredita que o problema pode ser ainda maior em empresas tradicionais. No entanto, já que os salários são pagos por dólar, ou outra moeda, é impossível rastrear essas transações.