Lazarus Group

O Grupo Lazarus é uma designação ampla para um conjunto de grupos de ameaça persistente avançada (APT) patrocinados pelo governo da Coreia do Norte. Reconhecido globalmente como um dos mais prolíficos e perigosos atores cibernéticos, o Lazarus Group é responsável por ataques que vão desde espionagem geopolítica até roubos financeiros massivos, especialmente no ecossistema de criptomoedas. No 13SEC NEWS, trazemos análises detalhadas sobre suas operações, técnicas e os impactos dos ataques no Brasil e no mundo.

Estrutura e Subgrupos

O Lazarus Group não é uma entidade monolítica. Pesquisadores de segurança dividem suas operações em subgrupos com focos distintos:

  • APT38 (Bluenoroff): Focado em ataques financeiros a bancos e instituições financeiras. Responsável pelo ataque ao Banco Central de Bangladesh.
  • BlueNoroff: Especializado em roubos de criptomoedas, visando exchanges e empresas de blockchain através de engenharia social e malware.
  • Andariel: Focado em espionagem cibernética e ataques a entidades governamentais e militares, especialmente na Coreia do Sul e nos Estados Unidos.

Histórico de Operações

O Lazarus Group está ativo desde pelo menos 2009, quando foi atribuído a uma série de ataques de negação de serviço (DDoS) e roubos de dados na Coreia do Sul. A sua notoriedade global explodiu em 2014 com o ataque à Sony Pictures, um marco na história da guerra cibernética. Desde então, o grupo evoluiu suas operações para o roubo financeiro em larga escala, mirando especificamente o setor de criptomoedas a partir de 2017, quando o preço do Bitcoin começou a disparar.

Ataques Notáveis

Nos últimos anos, o grupo esteve envolvido em alguns dos maiores incidentes de cibersegurança do planeta:

  • Sony Pictures (2014): Um ataque massivo de destruição de dados e extorsão em resposta ao filme "A Entrevista".
  • Banco de Bangladesh (2016): Tentativa de roubo de US$ 1 bilhão através do sistema SWIFT, resultando no desvio de US$ 81 milhões.
  • Ronin Network / Axie Infinity (2022): Roubo de US$ 620 milhões em criptoativos em um ataque à ponte de blockchain.
  • Bybit (2025): Um dos maiores roubos de criptomoedas da história, com mais de US$ 1.5 bilhão desviados, atribuído ao grupo.

Táticas, Técnicas e Procedimentos (TTPs)

O grupo tem sido associado a inúmeras campanhas de roubo de criptomoedas, utilizando iscas de emprego falsas (TraderTraitor), malware disfarçado de carteiras de criptomoedas (AppleJeus) e exploração de vulnerabilidades em bridges de blockchain. A sofisticação do grupo reside na sua capacidade de operar de forma silenciosa por longos períodos, movendo fundos através de múltiplas jurisdições.

  • Spear Phishing: Campanhas altamente direcionadas a funcionários de empresas de criptomoedas e finanças.
  • Ataques à Cadeia de Suprimentos: Comprometimento de empresas de software confiáveis (como 3CX e JumpCloud) para distribuir malware.
  • Malware Financeiro: Uso de trojans como AppleJeus, TraderTraitor e ferramentas personalizadas para roubar chaves privadas e credenciais.
  • Lavagem de Dinheiro: Utilização de uma complexa rede de mixers, bridges e exchanges descentralizadas para ocultar a origem dos fundos roubados.

Impacto e Relevância para o Brasil

Embora os ataques do Lazarus Group sejam globais, o Brasil não está imune. O crescente mercado de criptomoedas e a digitalização do sistema financeiro brasileiro tornam o país um alvo potencial. Organizações brasileiras precisam estar atentas às campanhas de phishing e ataques à cadeia de suprimentos. A Autoridade Nacional de Proteção de Dados (ANPD) e a Polícia Federal (PF) têm se preparado para enfrentar ameaças cibernéticas transnacionais como as representadas pelo grupo.

Alvos Prioritários no Setor Financeiro

Bancos centrais, empresas de processamento de pagamentos e, principalmente, exchanges de criptomoedas continuam no topo da lista de alvos do Lazarus Group. O modus operandi geralmente envolve o comprometimento de funcionários com alto nível de privilégio através de engenharia social altamente personalizada, visando desviar ativos de forma silenciosa e eficiente.

Cobertura Recente no 13SEC NEWS