Hackers ligados à Coreia do Norte foram responsáveis por roubos de criptomoedas sem precedentes em 2025, com empresas de análise de blockchain relatando que atores afiliados ao regime roubaram cerca de US$ 2 bilhões em criptoativos ao longo do ano. Essas atividades marcaram o maior arremesso anual atribuído à Coreia do Norte no setor de criptomoedas e continuaram um padrão de longo prazo de roubo cibernético ligado ao Estado, usado para gerar receita.
Análises de várias organizações de inteligência blockchain mostraram que os atores cibernéticos norte-coreanos focaram em uma mistura de grandes violações de bolsa e outros compromissos de alto valor. Um dos eventos mais significativos foi uma grande exploração da exchange de criptomoedas Bybit em fevereiro de 2025, quando atacantes tomaram controle de chaves privadas e retiraram grandes quantidades de ativos digitais logo após a execução. Esse único roubo, avaliado em aproximadamente US$ 1,5 bilhão, foi um dos maiores roubos individuais de criptomoedas já registrados e representou uma grande parte do valor roubado conhecido do ano.
Pesquisadores também documentaram que a participação da Coreia do Norte no roubo global de criptomoedas foi substancial em relação a outros atores ameaçadores. Em 2025, até 60–76% do valor total roubado dos serviços centralizados foi atribuído a atores ligados à República Popular Democrática da Coreia (RPDC), segundo estimativas de reportagens do setor. Esse padrão demonstrou tanto o direcionamento estratégico de bolsas centralizadas quanto a escala em que essas operações foram realizadas em comparação com outros grupos maliciosos.
O contexto mais amplo dessas atividades mostra uma mudança tanto de tática quanto de escala. A Elliptic, uma empresa de inteligência em blockchain, relatou que os operadores cibernéticos da Coreia do Norte realizaram mais de 30 ataques distintos contra exchanges e outros serviços de criptomoedas em 2025, elevando o total acumulado de criptomoedas roubadas desde 2017 para bem mais de 6 bilhões de dólares. Esses furtos de 2025 teriam sido motivados por uma combinação de comprometimento técnico da infraestrutura da central e engenharia social direcionada a administradores de serviços e usuários privilegiados.
Parte da estratégia operacional envolveu mirar em grandes plataformas de custódia e negociação, onde um único compromisso de acesso privilegiado pode resultar em perdas de valor extremamente altas. Ao buscar serviços centralizados com reservas substanciais, os atacantes conseguiram maximizar o impacto monetário de cada incidente. Analistas observaram que esse foco nas reservas concentradas de criptomoedas contribuiu para a parcela desproporcionalmente grande das perdas de 2025 vinculadas à Coreia do Norte.
Além de grandes violações de plataforma, também houve relatos de incidentes menores, porém notáveis, atribuídos a hackers ligados à RPDC. Por exemplo, observadores do setor e autoridades sul-coreanas relataram investigações sobre roubos de dezenas de milhões de dólares em criptomoedas provenientes de serviços como a Upbit, onde comprometimentos de chaves privadas ou saques anormais surgiram no final de 2025, com as autoridades citando táticas e infraestrutura consistentes com grupos ligados à Coreia do Norte.
Dados do setor sugerem que 2025 representou não apenas um ano recorde para o roubo de criptomoedas norte-coreano em termos absolutos, mas também um período em que os métodos usados se tornaram mais sistemáticos, refletindo uma abordagem industrializada para gerar receita por meio de uma combinação de violações de alto valor, engenharia social e lavagem sofisticada de ativos roubados. Analistas de blockchain observaram que os fundos roubados frequentemente passam por serviços complexos de mistura e ponte, seguidos por conversão online e offline, ilustrando como as operações de roubo de criptomoedas na Coreia do Norte amadureceram tanto técnica quanto operacionalmente.
As implicações financeiras desses furtos vão além das próprias perdas imediatas. Os recursos provenientes de roubos de blockchain têm sido ligados a esforços do governo norte-coreano para evitar sanções internacionais e subsidiar prioridades estatais. Análises independentes e monitoramento por empresas de inteligência financeira identificaram padrões de lavagem e transferências entre cadeias que se alinham com as fontes conhecidas de receita do cibercrime da RPDC, ressaltando as consequências geopolíticas mais amplas da ameaça.
Em conjunto, os dados de 2025 mostram que os atores cibernéticos norte-coreanos reforçaram sua posição como força dominante no cenário do roubo de criptomoedas. Suas operações contribuíram com uma grande parte dos cerca de US$ 3,4 bilhões em ativos criptográficos totais relatados como roubados em toda a indústria, com a participação vinculada à RPDC superando significativamente a de outros grupos estatais ou criminosos no ano.
A evolução contínua dessas operações ressalta os desafios enfrentados por operadores de bolsa, custodiantes e detentores individuais na proteção dos ativos digitais. À medida que a sofisticação técnica e econômica dos atacantes cresce, a cibersegurança das plataformas de criptomoedas e a proteção de chaves privadas e acesso administrativo continuam sendo preocupações centrais para a indústria.