O cibercrime ligado à Coreia do Norte não é improviso nem obra de um único grupo. É uma operação estruturada, sofisticada e em constante evolução. Após anos de monitoramento, a CrowdStrike concluiu que o famoso grupo LABYRINTH CHOLLIMA, associado a alguns dos ataques mais impactantes da última década, na verdade se desdobrou em três grupos distintos, cada um com objetivos, ritmos e especializações próprias.
Entre os ataques atribuídos a essa estrutura estão o ransomware WannaCry, que causou caos global em 2017, além de operações destrutivas contra alvos nos Estados Unidos e na Coreia do Sul. A nova análise mostra que o que antes parecia um único adversário multifuncional evoluiu para uma divisão clara de tarefas dentro do aparato cibernético norte-coreano.
A base técnica que deu origem a tudo
Entre 2009 e 2015, os pesquisadores identificaram uma estrutura conhecida como KorDLL, uma espécie de repositório central de código malicioso. Esse acervo reunia implantes prontos, protocolos de comando e controle, bibliotecas reutilizáveis e técnicas de ofuscação, funcionando como um verdadeiro kit de desenvolvimento de malware.
Dessa base surgiram famílias conhecidas como Dozer, Brambul e Joanap, que mais tarde evoluíram para estruturas mais modernas, como Hawup e TwoPence. Foi a partir da Hawup que, entre 2018 e 2020, começaram a se formar três subgrupos com comportamentos e objetivos claramente diferentes.
Mesmo compartilhando ferramentas e infraestrutura ocasionalmente, as diferenças operacionais ficaram grandes demais para serem ignoradas. Segundo a CrowdStrike, isso reflete uma organização interna mais madura, com unidades independentes, porém coordenadas, dentro da inteligência ou das forças armadas do país.
GOLDEN CHOLLIMA: receita constante acima de tudo
O primeiro grupo identificado é o GOLDEN CHOLLIMA, descrito como o responsável por garantir fluxo financeiro contínuo ao regime. Ele atua principalmente em países com economias fortes e ecossistemas ativos de criptomoedas e fintechs, como Estados Unidos, Canadá, Coreia do Sul, Índia e países da Europa Ocidental.
Em vez de grandes golpes isolados, o foco está em roubos menores e frequentes. A operação começou em 2018 com o malware Jeus e sua variante para macOS, o AppleJeus, que se disfarçava como um aplicativo legítimo de criptomoedas supostamente desenvolvido por uma empresa fictícia.
Desde então, o grupo acumulou diversas variantes e ferramentas especializadas, formando um arsenal voltado quase exclusivamente para empresas de tecnologia financeira. Nos ataques mais recentes, o GOLDEN CHOLLIMA passou a mirar ambientes em nuvem. Em 2024, por exemplo, usou golpes de recrutamento falso para entregar pacotes Python maliciosos a uma fintech europeia.
Após obter acesso inicial, o grupo se moveu lateralmente até alcançar a infraestrutura em nuvem da empresa, explorou configurações de controle de acesso e desviou ativos digitais para carteiras sob seu controle. O grupo também explorou falhas zero-day no Chromium e, em 2025, foi associado a implantações de malwares como SnakeBaker e NodalBaker.
PRESSURE CHOLLIMA: grandes golpes, alto risco
O segundo grupo, PRESSURE CHOLLIMA, é o mais agressivo financeiramente. Ele está ligado aos maiores roubos de criptomoedas já registrados e a outras operações que variam de dezenas a centenas de milhões de dólares, rastreadas por meio da reutilização de carteiras digitais.
Diferente do GOLDEN CHOLLIMA, esse grupo é oportunista. Não segue padrões geográficos e ataca qualquer organização que represente alto retorno financeiro. Para isso, utiliza implantes raros e altamente sofisticados, o que o torna um dos adversários tecnicamente mais avançados da Coreia do Norte.
A separação desse grupo começou a ficar clara em 2019, com o uso experimental do SwDownloader, rapidamente substituído pelo SparkDownloader, conhecido publicamente como TraderTraitor. Em campanhas mais recentes, o PRESSURE CHOLLIMA passou a usar projetos maliciosos em Node.js e Python para distribuir malwares como Scuzzyfuss e TwoPence Electric.
LABYRINTH CHOLLIMA: espionagem como missão principal
O grupo que manteve o nome original, LABYRINTH CHOLLIMA, voltou ao seu foco inicial: espionagem. Suas operações modernas começaram por volta de 2020, coincidindo com a separação dos outros dois grupos.
Um ponto de virada foi o surgimento do FudModule, em 2022. Esse malware avançado utiliza manipulação direta do kernel do sistema operacional para se esconder e explorou falhas zero-day em drivers, no Windows e no Chrome. Curiosamente, o FudModule também apareceu em operações do GOLDEN CHOLLIMA, indicando compartilhamento de ferramentas entre as unidades.
Os principais alvos do LABYRINTH CHOLLIMA são empresas dos setores de defesa e manufatura. O grupo demonstrou interesse consistente em organizações aeroespaciais europeias e em empresas dos Estados Unidos, Japão e Itália. Entre 2024 e 2025, também ampliou o foco para logística, transporte e infraestrutura crítica, incluindo energia hidrelétrica.
Uma das técnicas mais eficazes usadas recentemente envolve mensagens via WhatsApp com arquivos ZIP maliciosos, geralmente disfarçados de propostas de emprego ou aplicativos legítimos adulterados.
Grupos distintos, estratégia unificada
Segundo a CrowdStrike, embora os três grupos atuem como unidades independentes, eles mantêm forte coordenação. A infraestrutura compartilhada, o reaproveitamento de código e as técnicas semelhantes indicam que todos fazem parte de um único aparato estratégico.
Entre os métodos comuns estão ataques à cadeia de suprimentos, engenharia social com foco em recrutamento, uso de softwares legítimos trojanizados e pacotes maliciosos em Node.js e Python. Essas semelhanças têm origem direta nas antigas estruturas KorDLL e Hawup.
Dinheiro segue sendo o motor da operação
O relatório aponta que a motivação financeira deve se intensificar. Com sanções internacionais pressionando a economia norte-coreana, operações de roubo digital se tornam ainda mais estratégicas para financiar projetos militares ambiciosos, como novos navios de guerra, submarinos nucleares e satélites de reconhecimento.
Mesmo com missões diferentes, os três grupos permanecem interligados por um DNA técnico comum. A reutilização de ferramentas como o FudModule e as semelhanças entre famílias de malware reforçam que se trata de um ecossistema único, apenas segmentado por função.
A CrowdStrike alerta que empresas dos setores de criptomoedas, fintech, defesa e logística devem redobrar a atenção, especialmente contra golpes de engenharia social ligados a ofertas de emprego e softwares aparentemente legítimos distribuídos por mensageiros como o WhatsApp. O relatório também recomenda medidas como treinamento contínuo de funcionários, autenticação multifator e políticas rigorosas de verificação de software para reduzir os riscos.
