O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos Estados Unidos, em conjunto com suas contrapartes na Austrália, no Japão e na República da Coreia, anunciou sanções a oito agentes estrangeiros da Coreia do Norte e ao grupo de espionagem cibernética Kimsuky.
Kimsuky foi designado pelo Ministério dos Negócios Estrangeiros da Coreia do Sul (MoFA) em junho de 2023. Kimsuky, um grupo de espionagem cibernética que está ativo pelo menos desde 2012, concentrou seus esforços de coleta de informações em questões de política externa e de segurança nacional.
De acordo com a designação, Kimsuky está subordinado ao Reconnaissance General Bureau (RGB), o principal serviço de inteligência estrangeiro da República Popular Democrática da Coreia (RPDC). As campanhas de espionagem cibernética de Kimsuky, segundo o Tesouro, apoiam diretamente as ambições estratégicas e nucleares da RPDC.
Kimsuky usa principalmente spear-phishing para atingir indivíduos empregados pelo governo, centros de pesquisa, grupos de reflexão, instituições acadêmicas e organizações de mídia de notícias, incluindo entidades na Europa, Japão, Rússia, Coreia do Sul e Estados Unidos. O grupo tem sido associado a vários ataques cibernéticos, incluindo:
- Um ataque em 2014 contra o Banco Central da Malásia, que resultou no roubo de US$ 81 milhões;
- Um ataque em 2017 contra a Sony Pictures Entertainment, que levou ao vazamento de informações confidenciais;
- Um ataque em 2020 contra a Microsoft, que permitiu a Kimsuky instalar malware em computadores de funcionários do governo dos Estados Unidos.
A Coreia do Norte foi uma das primeiras a adotar a utilização de criptomoedas para lavagem de dinheiro e, nos últimos cinco anos, tem atacado o ecossistema das criptomoedas a uma velocidade e escala alarmantes. Portanto, grande parte da discussão recente tem sido sobre o roubo de criptografia na RPDC.
Por exemplo, o TRM Labs informou que nos últimos cinco anos, hackers norte-coreanos roubaram mais de US$ 2 bilhões em criptomoedas em mais de 30 ataques.
Dada a dimensão e a escala da atividade de pirataria informática da Coreia do Norte, às vezes é fácil esquecer que um Estado tão invulgar como a RPDC também utiliza técnicas de espionagem cibernéticas mais tradicionais.
As pequenas quantidades de criptografia conhecidas por estarem vinculadas a Kimsuky estão vinculadas a usos mais operacionais do que as centenas de milhões de criptomoedas que o grupo Lazarus, criminoso cibernético da Coreia do Norte, movimenta na rede.
No gráfico abaixo do TRM Labs, os fundos que fluem de Kimsuky para o processador de pagamentos foram provavelmente usados para apoiar suas campanhas de espionagem online. Isso pode incluir a compra de serviços VPN ou registros de domínio.
Embora o uso de criptomoedas por Kimsuky seja relativamente pequeno e usado principalmente para financiar suas operações cibernéticas e de espionagem, tudo isso faz parte da estratégia mais ampla de financiamento cibernético e ilícito da Coreia do Norte, que envolveu ataques de malware, hacks de infraestrutura do banco central e roubo de bilhões de dólares do ecossistema criptográfico.
As ações da OFAC e do MoFA da Coreia são mais um passo para mitigar o risco dos grupos cibercriminosos da Coreia do Norte. As sanções impedem que os indivíduos e entidades sancionados acessem o sistema financeiro dos Estados Unidos e de outros países. Elas também enviam uma mensagem clara aos grupos cibernéticos da Coreia do Norte de que suas atividades serão levadas a sério.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.