Cortes coreanos dispararam roubo de criptomoedas para US$ 2 bilhões em 2025, revela Chainalysis

Os grupos criminosos ligados à República Popular Democrática da Coreia intensificaram suas operações no mercado de criptomoedas durante 2025, estabelecendo um novo recorde devastador. Segundo o mais recente relatório da Chainalysis, os cortes coreanos conseguiram desviar pelo menos US$ 2 bilhões em ativos digitais ao longo do ano, representando um salto impressionante de 51% em relação aos valores roubados em 2024. Esse resultado catapultou o total acumulado de roubo desses grupos para US$ 6,75 bilhões desde seus primeiros ataques documentados.

Mudança de tática: ataques mais frequentes com cifras monumentais

A análise dos dados revela uma transformação significativa nas estratégias dos cortes coreanos. Embora o número total de incidentes tenha crescido, a verdadeira transformação reside na magnitude dos eventos individuais. Os grupos criminosos vêm reduzindo a frequência de ataques contra usuários pessoais, mas compensam essa mudança com incursões devastadoras contra infraestruturas centralizadas de maior vulto.

Os cortes coreanos foram responsáveis por 76% de todas as violações direcionadas a plataformas e serviços em nível empresarial durante 2025 – o percentual mais elevado já registrado. Essa concentração de poder de fogo em alvos de grande impacto contrasta radicalmente com o padrão observado em cibercriminosos convencionais, que preferem disseminar seus esforços por múltiplos objetivos de menor valor. O ataque ao serviço centralizado da Bybit, resultando em perdas de US$ 1,4 bilhão, exemplifica precisamente essa mentalidade de maximizar o impacto por operação.

IA e infraestrutura regional: sofisticação exponencial na lavagem de dinheiro

O processo de ocultação de fundos roubados pelos cortes coreanos ganhou uma camada adicional de complexidade tecnológica. Diferentemente de outros grupos criminosos que transferem recursos em transferências volumosas on-chain, os atores vinculados à RPDC fragmentam seus despojos em parcelas cuidadosamente dimensionadas, raramente ultrapassando a marca de US$ 500 mil por transação individual – uma clara demonstração de controle operacional sofisticado.

Andrew Fierman, chefe de inteligência de segurança nacional da Chainalysis, revelou ao CoinDesk que a Inteligência Artificial tornou-se o vetor crítico dessa transformação. “Os cortes coreanos realizam a lavagem de seus roubos em criptomoedas com uma consistência e fluidez que apontam inequivocamente para o uso de IA”, afirmou o especialista. O sistema de limpeza de recursos opera através de um fluxo de trabalho altamente coordenado: mixers de criptomoeda, pontes entre diferentes blockchains, e protocolos de DeFi funcionam em sinergia desde as fases iniciais, convertendo metodicamente os fundos entre diversos ativos cripto.

Essa engenharia de lavagem revela dependência notável de intermediários regionais específicos. As carteiras dos cortes coreanos mostram preferência marcante por corretoras, serviços de garantia e redes de balcão operadas em idioma chinês, além de extenso uso de pontes e plataformas de mistura. Significativamente, evitam amplamente protocolos de DeFi descentralizados tradicionais e exchanges peer-to-peer, sugerindo tanto limitações estruturais quanto acesso concentrado em facilitadores geográficos e linguísticos específicos.

O cronograma preciso: 45 dias para conversão final de ativos

A análise forense pós-ataque realizada pela Chainalysis identificou padrões temporais notavelmente consistentes nas operações de integração de fundos. Quando os cortes coreanos executam grandes roubos, a janela típica de conversão e ocultação de recursos estende-se por aproximadamente 45 dias, passando por fases sucessivas que começam com ofuscação imediata e culminam em integração final em portfólios diversificados.

Embora esse ciclo não seja absolutamente universal em todas as operações, sua recorrência ao longo de múltiplos anos fornece inteligência acionável valiosa para órgãos de fiscalização e conformidade. Essa previsibilidade temporal oferece uma janela crítica para interceptar fundos roubados antes de sua integração definitiva em circulação – informação crucial para equipas de segurança trabalhando contra o relógio.

Ataque direcionado a usuários: declínio em frequência, redução em valores médios

Simultaneamente à intensificação contra plataformas, os cortes coreanos demonstram menor interesse em comprometer carteiras pessoais. As violações de contas individuais representaram apenas 20% do valor total desviado em 2025, comparado aos 44% registrados no ano anterior. Apesar do número absoluto de incidentes ter aumentado para 158 mil eventos, o montante em dólares extraído por vítima individual experimentou queda de 52%, atingindo US$ 713 milhões no agregado.

Essa bifurcação revela calculus estratégico claro: os cortes coreanos expandem o alcance do assédio contra pessoas comuns, porém redirecionam seus maiores recursos para operações contra sistemas corporativos, onde o retorno por esforço justifica a sofisticação tecnológica empregada.

Perspectivas para 2026: escalada sem sinais de desaceleração

Conforme o período de 2025 se encerrou, as atividades de ataque dos cortes coreanos não apresentavam indicadores de redução de ritmo. O panorama atual de ameaças revela polarização crescente: de um lado, roubo em massa de baixo valor desviado de indivíduos isolados; do outro, incidentes raros porém catastróficos direcionados a infraestruturas de serviço centralizadas. Os cortes coreanos consolidaram sua posição firmemente neste segundo extremo, reforçando seu papel como vetor de ameaça crítico ao ecossistema global de criptomoedas.

Para equipes de conformidade e aplicação da lei, essas descobertas sublinham a urgência de adotar mecanismos de detecção em tempo real, vigilância da infraestrutura de lavagem regional, e cooperação transfronteiriça para interromper as cadeias de facilitadores que alimentam a sofisticação crescente dessas operações criminosas.