Uma investigação recente revelou um esquema sofisticado ligado à Coreia do norte que pode movimentar cerca de US$ 1 milhão por mês em criptomoedas. O trabalho, conduzido pelo investigador on-chain ZachXBT, expôs dados internos que sugerem a existência de uma rede clandestina de pagamentos com atuação global.

Segundo a análise, agentes de tecnologia da informação associados ao regime atuam como freelancers internacionais. Ao mesmo tempo, eles canalizam recursos digitais por meio de projetos de finanças descentralizadas, o que favorece operações discretas e contínuas ao longo dos anos.

Infiltração estruturada no mercado cripto

De acordo com os dados obtidos, um servidor interno reunia mais de 390 contas, além de históricos de transações e registros de conversas. Assim, o material indica uma operação organizada, embora com falhas relevantes de segurança.

As informações vieram à tona após o comprometimento de um dispositivo por um malware do tipo infostealer. Como resultado, foram expostos logs do IPMsg, identidades falsas e atividades de navegação. Dessa forma, o investigador conseguiu mapear parte da atuação dos envolvidos.

Entre os elementos identificados, destaca-se o site luckyguys.site, que aparentemente funcionava como um hub interno de remessas. Nesse sentido, a plataforma operava como um mensageiro, onde agentes reportavam pagamentos e alinhavam valores com superiores.

Senha padrão “123456” identificada no sistema. Fonte: ZachXBT no X.

Um ponto crítico envolve a fragilidade da segurança. Muitas contas utilizavam a senha “123456”. Além disso, os registros indicam nomes, funções e localizações compatíveis com entidades previamente sancionadas por autoridades internacionais, embora nem todos os dados tenham confirmação independente.

Fluxo financeiro e padrões operacionais

As análises indicam que, desde novembro de 2025, mais de US$ 3,5 milhões teriam circulado por carteiras associadas ao esquema. Em geral, os usuários enviavam criptomoedas a partir de exchanges. Em seguida, convertiam os valores em moeda fiduciária por meio de bancos chineses e serviços como Payoneer.

Após cada envio, um administrador identificado como “PC-1234” confirmava o recebimento. Posteriormente, distribuía credenciais de acesso a contas financeiras conforme o perfil do usuário. Assim, a operação mantinha um fluxo padronizado.

Conversas analisadas também apontam o uso frequente de identidades falsas. Além disso, há menções a endereços em Hong Kong para faturamento. No entanto, essas informações ainda carecem de verificação independente.

Estrutura interna e possíveis conexões

A partir dos dados coletados, ZachXBT reconstruiu uma possível hierarquia da rede. Nesse contexto, o material sugere uma estrutura coordenada, com divisão clara de funções. Parte das carteiras analisadas apresenta ligação com clusters previamente associados à Coreia do Norte.

Uma dessas carteiras, na rede Tron, foi congelada pela Tether em dezembro de 2025. Portanto, o episódio indica algum nível de rastreamento e contenção das atividades.

Estrutura organizacional dos trabalhadores de TI. Fonte: ZachXBT no X.

Outros achados incluem o uso de VPNs e múltiplas identidades para candidatura a empregos. Além disso, surgiram discussões internas sobre possíveis ataques a projetos. Em um caso, um agente mencionou explorar um jogo baseado em GalaChain com uso de proxy nigeriano. Contudo, não há confirmação de execução.

Também foram identificados materiais avançados de treinamento em engenharia reversa e segurança cibernética. Esses conteúdos circularam entre novembro de 2025 e fevereiro de 2026, incluindo técnicas de descompilação e análise de softwares maliciosos.

Implicações no cenário global

Ainda que essa rede seja considerada menos sofisticada do que outras operações atribuídas à Coreia do Norte, os dados reforçam uma tendência relevante. Em outras palavras, trabalhadores de TI ligados ao regime podem gerar receitas significativas por meio de atividades no mercado de criptomoedas.

Após a divulgação, o site interno saiu do ar. Ainda assim, o conteúdo já havia sido arquivado, o que deve permitir o avanço das investigações.

Bitcoin recuperou a faixa dos US$ 72 mil recentemente. Fonte: TradingView.

O caso evidencia como as criptomoedas estão inseridas em dinâmicas geopolíticas. Ao mesmo tempo, a transparência das blockchains permite rastreamento. Por outro lado, o episódio também sugere maior adaptação de redes que exploram essas tecnologias.

Em suma, os dados analisados apontam para milhões de dólares movimentados por carteiras ligadas ao esquema. Dessa forma, o uso de identidades falsas, conversões via bancos chineses e coordenação centralizada indica um padrão operacional consistente, ainda sob investigação.