Um relatório recente da empresa de segurança Ctrl-Alt-Intel apontou um ciberataque altamente sofisticado contra empresas do setor cripto, levantando preocupações sobre a vulnerabilidade da infraestrutura digital. A operação criminosa demonstrou métodos complexos e movimentos silenciosos dentro dos ambientes comprometidos.

A investigação revelou múltiplos vetores de ataque explorados pelos invasores. Além disso, a equipe identificou o uso da vulnerabilidade React2Shell, presente em versões antigas de um framework ainda comum em plataformas cripto. Assim, os operadores conseguiram localizar sistemas expostos e distribuídos pela internet.

Vulnerabilidades críticas ampliam risco às empresas

Os hackers também acessaram diretamente o ambiente em nuvem de uma exchange ao utilizarem credenciais legítimas da Amazon Web Services. No entanto, ainda não há confirmação sobre como esses dados sensíveis foram obtidos. O uso de chaves válidas permitiu que os criminosos evitassem ferramentas tradicionais de detecção.

A partir desse ponto, os invasores avançaram de forma meticulosa. Além disso, pesquisaram arquivos internos, analisaram a estrutura operacional das empresas e mapearam sistemas essenciais. O objetivo aparente incluía compreender toda a arquitetura digital, e não apenas explorar brechas imediatas.

Coleta sistemática de códigos e chaves privadas

Os operadores vasculharam buckets em nuvem em busca de chaves privadas, arquivos de configuração e elementos que permitissem expandir o acesso. Portanto, a ação demonstrou organização e profundo conhecimento técnico. Também examinaram diagramas internos e senhas de bancos de dados. Quando encontraram uma base bloqueada, modificaram sua configuração e a tornaram pública para facilitar o acesso.

Entre os dados obtidos, estavam cinco imagens proprietárias de containers Docker contendo código-fonte de uma exchange ativa. Além disso, repositórios privados foram clonados, enquanto segredos de aplicações foram extraídos de cofres em nuvem, clusters Kubernetes e containers em execução.

Uma plataforma de staking sofreu comprometimento completo de seu backend. Assim, os invasores encontraram uma chave privada de carteira e moveram uma pequena quantia de criptoativos logo após a intrusão, indicando testes ou exploração imediata das credenciais roubadas.

Indícios reforçam suspeita de hackers norte-coreanos

Diversos elementos apontam para a atuação de grupos associados ao regime norte-coreano. Além disso, o padrão dos alvos, o tipo de dado roubado e as ferramentas utilizadas coincidem com campanhas anteriores atribuídas a esses agentes. A técnica empregada, portanto, segue um histórico já conhecido por especialistas.

O tráfego da operação foi mascarado por VPNs da Coreia do Sul, dificultando rastreamentos e criando camadas adicionais de ocultação. Essa prática é comum em ataques coordenados que tentam confundir investigadores e atribuir a ofensiva a outras regiões.

A Ctrl-Alt-Intel notificou todas as empresas afetadas. Além disso, o relatório destacou a importância do fortalecimento de protocolos internos de monitoramento e prevenção no setor. A amplitude da invasão, que incluiu exploração da React2Shell, roubo de containers, códigos e chaves privadas, reforça a necessidade urgente de revisão das práticas de segurança.