Hackers da Coreia do Norte se reorganizam em três grupos cibercriminosos

O cibercrime na Coreia do Norte é organizado e complexo. A CrowdStrike, empresa de segurança cibernética, passou anos rastreando um grupo de hackers norte-coreanos conhecido como LABYRINTH CHOLLIMA.

O grupo foi responsável por alguns dos ataques mais famosos da história recente, incluindo o ransomware WannaCry que paralisou hospitais e empresas no mundo inteiro em 2017, além de ataques destrutivos contra alvos sul-coreanos e americanos. 

Acontece que, após revisar cuidadosamente todos os dados históricos que tinham coletado, os analistas da CrowdStrike chegaram a uma conclusão importante. O que eles pensavam ser um único grupo explorando várias vulnerabilidades diferentes na verdade havia evoluído para três grupos distintos.

A origem de tudo

Para entender como chegamos aqui, precisamos voltar um pouco no tempo. Entre 2009 e 2015, existia algo chamado estrutura KorDLL, que era basicamente um repositório gigante de código-fonte usado para criar malware, quase um livro de receitas para vírus e trojans.

Dentro dessa biblioteca, havia modelos prontos de implantes, que são programas maliciosos que ficam escondidos em computadores infectados, protocolos de comando e controle, que permite que os criminosos controlem programas à distância, bibliotecas com funções comuns que todo malware precisa, e várias técnicas de ofuscação, métodos para esconder o código malicioso dos antivírus e sistemas de segurança. 

Dessa estrutura KorDLL nasceram várias famílias famosas de malware, como Dozer, Brambul, Joanap e outras, que depois evoluíram para estruturas mais modernas chamadas Hawup e TwoPence.

É dessa estrutura Hawup que, entre 2018 e 2020, surgiram os três subgrupos que o relatório identifica. Basicamente, os pesquisadores perceberam que não fazia mais sentido tratar tudo isso como um grupo único. Isso porque cada subgrupo desenvolvia seu próprio malware de forma sustentada ao longo do tempo, tinha padrões muito específicos de quem atacava, operava em ritmos diferentes e tinha objetivos completamente distintos.

Mesmo compartilhando infraestrutura e ferramentas ocasionalmente, as diferenças eram grandes o suficiente para serem tratados como adversários separados. O relatório aponta que isso provavelmente reflete como o aparato cibernético norte-coreano está organizado internamente, com diferentes unidades dentro da inteligência ou do exército trabalhando de forma coordenada mas independente.

GOLDEN CHOLLIMA foca em receita estável

O primeiro dos grupos é o GOLDEN CHOLLIMA, classificado como um “gerador de receita estável” do regime norte-coreano. Eles focam em países economicamente desenvolvidos que têm presença significativa de criptomoedas e empresas de tecnologia financeira, especialmente Estados Unidos, Canadá, Coreia do Sul, Índia e Europa Ocidental. 

Ao contrário de ir atrás de um único grande roubo, eles preferem fazer roubos menores mas com uma frequência consistente, como se fossem o grupo responsável por garantir um fluxo constante de dinheiro. 

O malware deles começou em 2018 com algo chamado Jeus e sua variante para Mac, o AppleJeus, que se disfarçava como um aplicativo legítimo de criptomoedas supostamente desenvolvido por uma empresa chamada Celas Limited, que na verdade era completamente fictícia. 

Desde então, a CrowdStrike observou oito variantes diferentes desses malwares, além de sobreposições de shellcode, que são pequenos pedaços de código, entre várias ferramentas como PipeDown, DevobRAT, HTTPHelper e Anycon, formando um verdadeiro kit especializado para atacar empresas de tecnologia financeira.

As operações recentes do GOLDEN CHOLLIMA mostram que eles estão evoluindo suas técnicas para focar em ambientes de nuvem. No final de 2024, eles usaram a tática de fraude de recrutamento, onde fingem ser recrutadores oferecendo empregos atraentes, para entregar pacotes Python maliciosos a uma empresa europeia de tecnologia financeira. 

Uma vez que conseguiram acesso inicial, eles se moveram lateralmente pelo ambiente, que significa que foram explorando diferentes partes do sistema até chegarem ao ambiente de nuvem da empresa. 

Quando chegaram lá, eles acessaram as configurações de IAM, que são os sistemas que controlam quem tem permissão para fazer o quê dentro da infraestrutura digital, e outros recursos de nuvem. Eventualmente, conseguiram desviar a criptomoeda da vítima para carteiras digitais controladas por eles. 

Além disso, eles também aproveitaram vulnerabilidades de zero-day no Chromium, que é a base do Google Chrome e vários outros navegadores, para entregar malware. Mais recentemente, em junho de 2025, foram detectadas várias implantações do SnakeBaker e sua variante JS NodalBaker em empresas de tecnologia financeira.

PRESSURE CHOLLIMA é grupo mais ambicioso

O segundo grupo, o PRESSURE CHOLLIMA, é responsável pelos roubos de criptomoedas mais performáticos da Coreia do Norte, incluindo os dois maiores roubos de criptomoedas já registrados na história. 

Relatórios públicos associam a eles outros roubos que variam de US$ 52 milhões a US$ 120 milhões, identificados através da reutilização de carteiras de criptomoedas. Diferente do GOLDEN CHOLLIMA que trabalha de forma consistente e previsível, o PRESSURE CHOLLIMA é oportunista. 

Eles não se importam com localização geográfica, vão atrás de qualquer organização que tenha ativos digitais significativos e que represente uma oportunidade de alto retorno financeiro. Para isso, utilizam implantes sofisticados e de baixa prevalência, ou seja, malware que não é usado com frequência e por isso é mais difícil de detectar, tornando-se um dos adversários tecnicamente mais avançados entre todos os grupos norte-coreanos.

As operações do PRESSURE CHOLLIMA provavelmente começaram a se separar do grupo principal LABYRINTH CHOLLIMA em fevereiro de 2019, quando fizeram uma implantação experimental do SwDownloader, que foi rapidamente substituído pelo SparkDownloader, também conhecido publicamente como TraderTraitor. 

Nas campanhas mais recentes, eles passaram a usar projetos maliciosos em Node.js e Python para distribuir malwares chamados Scuzzyfuss e TwoPence Electric. 

LABYRINTH CHOLLIMA foca em espionagem

E então temos o grupo principal, o LABYRINTH CHOLLIMA propriamente dito, que agora voltou ao seu foco original, a espionagem. Eles usam malware com linhagem Hoplight e suas operações modernas surgiram em 2020, exatamente quando os outros dois grupos se separaram. 

Pesquisadores da CrowdStrike explicam que isso provavelmente indica uma reorganização interna, onde os especialistas em roubo de blockchain e os especialistas em coleta de inteligência passaram a trabalhar em unidades separadas. 

Um marco importante para eles foi o surgimento do FudModule em 2022, que representou um salto em capacidade técnica. O FudModule emprega manipulação direta do kernel, que é o núcleo do sistema operacional, para se camuflar, e aproveitou exploits de zero-day em drivers vulneráveis, no Chrome e no próprio Windows. 

Curiosamente, o GOLDEN CHOLLIMA também teria usado o FudModule em algumas operações, o que indica que mesmo operando separadamente, esses grupos compartilham acesso a ferramentas avançadas.

Os alvos do LABYRINTH CHOLLIMA são principalmente empresas dos setores de manufatura e defesa. Eles têm demonstrado interesse particular em entidades de defesa europeias e organizações de manufatura nos Estados Unidos, Japão e Itália. 

Durante 2024 e entrando em 2025, continuaram atacando empresas aeroespaciais europeias usando iscas relacionadas a ofertas de emprego e exploraram vulnerabilidades de zero-day contra fabricantes de defesa. 

No primeiro semestre de 2025, também mostraram interesse crescente em empresas de logística e transporte. Além disso, miraram empresas de manufatura americanas, incluindo entidades de infraestrutura crítica em áreas especializadas como energia hidrelétrica.

As técnicas de entrega que eles usam em 2025 são variadas e adaptáveis. Um vetor primário são as mensagens de WhatsApp, nas quais o adversário envia arquivos ZIP maliciosos contendo aplicativos trojanizados, que são programas legítimos modificados para incluir código malicioso.

Devido à alta taxa de sucesso desse método, eles têm usado engenharia social com tema de emprego em várias campanhas, personalizando as iscas para atingir setores e funções específicos.

Três grupos são independentes mas mantém coordenação

De acordo com a CrowdStrike, é provável que esses três grupos operem como unidades organizacionais distintas dentro da rede cibercriminosa da Coreia do Norte. Porém, elementos de infraestrutura compartilhados e a polinização cruzada de ferramentas indicam que essas unidades mantêm coordenação estreita.

Todos os três grupos empregam técnicas semelhantes, incluindo compromissos da cadeia de suprimentos, onde infectam o software antes mesmo dele chegar ao usuário final, campanhas de engenharia social com tema de recursos humanos, software legítimo trojanizado e pacotes maliciosos em Node.js e Python. Essas semelhanças refletem suas origens comuns nas estruturas KorDLL e Hawup.

A segmentação do LABYRINTH CHOLLIMA em unidades especializadas representa uma evolução estratégica inteligente que aumenta significativamente a capacidade do regime norte-coreano de perseguir múltiplos objetivos simultaneamente. 

Enquanto um grupo foca em gerar receita constante, outro vai atrás de grandes roubos oportunistas, e o terceiro coleta inteligência valiosa sobre tecnologias militares e industriais. É uma abordagem multifacetada e sofisticada.

Lucro segue sendo principal motivação

O relatório também traz uma perspectiva sobre motivações futuras. A motivação financeira para as operações do GOLDEN CHOLLIMA e PRESSURE CHOLLIMA provavelmente vai se intensificar à medida que as sanções internacionais continuem prejudicando a economia norte-coreana. 

Apesar de melhorias recentes nas relações comerciais com a Rússia, a Coreia do Norte precisa de receitas adicionais significativas para financiar planos militares extremamente ambiciosos, que incluem a construção de novos contratorpedeiros, submarinos nucleares e o lançamento de satélites de reconhecimento adicionais.

Esses três adversários permanecem fundamentalmente interligados através de um DNA tático compartilhado e infraestrutura colaborativa. 

A utilização massiva de ferramentas como o FudModule aparecendo tanto em operações do GOLDEN CHOLLIMA quanto do LABYRINTH CHOLLIMA, combinada com as semelhanças de código entre as famílias de malware desses adversários, demonstra que eles continuam operando como componentes de um aparato estratégico unificado, mesmo tendo missões distintas.

Por fim, o documento alerta que organizações nos setores de criptomoedas, fintech, defesa e logística devem praticar vigilância redobrada em relação às campanhas de engenharia social norte-coreanas, particularmente aquelas que usam iscas relacionadas a emprego e software legítimo trojanizado entregue através de plataformas de mensagens como WhatsApp. 

O relatório então oferece recomendações específicas para mitigar esses riscos, desde treinamento de funcionários até implementação de autenticação multifatorial e políticas rigorosas de verificação de software.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.