Egidio
Dossiê · 2026

Redes criminosas documentadas: o caso Lazarus

Nem toda fraude é artesanal — algumas são conduzidas por grupos estruturados, documentados nominalmente por agências federais e empresas de segurança. Veja um caso especialmente bem acompanhado.

Quem documenta esse grupo

O grupo conhecido como Lazarus (do qual um subgrupo é identificado como "TraderTraitor") é acompanhado conjuntamente por várias agências americanas e empresas de segurança, com comunicados públicos nomeados e datados — não boatos.

Abril de 2022
Aviso conjunto do FBI, da CISA (agência de cibersegurança americana) e do Tesouro dos EUA, atribuindo as atividades do TraderTraitor ao grupo Lazarus.
2023
O Departamento de Justiça dos EUA anuncia a apreensão de mais de US$ 15 milhões em criptoativos roubados pelo grupo em quatro corretoras.
Maio de 2024
Roubo de US$ 308 milhões na corretora DMM Bitcoin — atribuído ao TraderTraitor pelo FBI e pela polícia nacional japonesa (NPA).
Fim de 2024
Roubo de US$ 1,5 bilhão na plataforma Bybit — atribuição pública do FBI aos agentes norte-coreanos do TraderTraitor.
2025
A Microsoft e a Google Threat Intelligence / Mandiant documentam uma frente distinta: operadores se passando por falsos desenvolvedores ou freelancers remotos, infiltrando-se em empresas reais para roubar criptoativos ou propriedade intelectual.
US$ 1,5 bi
Roubo atribuído ao grupo na plataforma Bybit, no fim de 2024.
FBI, atribuição pública, fim de 2024. Consultado em 14/07/2026.
US$ 308 mi
Roubo na corretora DMM Bitcoin, maio de 2024.
FBI & polícia nacional japonesa (NPA), maio de 2024. Consultado em 14/07/2026.

O método: infiltrar, não só invadir

O que diferencia essa frente do grupo é que ela não se limita a atacar de fora: operadores se fazem contratar como funcionários ou prestadores de verdade — currículo falso, identidade falsa, entrevistas passadas com sucesso — para conseguir acesso legítimo aos sistemas da empresa. Uma vez dentro, podem desviar fundos, roubar propriedade intelectual ou instalar ferramentas maliciosas.

Por que esse caso importa, mesmo sem relação direta com sua caixa de e-mail

A maioria dos golpes que uma pessoa comum recebe não tem relação direta com esse grupo específico. Mas esse caso mostra em que escala a fraude organizada se estruturou: já não são indivíduos isolados, mas redes com métodos documentados, que depois se espalham para golpes mais comuns — falsos recrutadores, engenharia social, perfis falsos.

🔒 Seja a ameaça vinda de um grupo organizado ou de um golpista isolado, o princípio para se proteger continua o mesmo: identificar o padrão, não apenas a mensagem isolada. É exatamente isso que a Medusa, o motor do Egidio, faz. Veja como funciona.

Perguntas frequentes

Quem documenta as atividades do grupo Lazarus?

Órgãos públicos e privados identificados nominalmente: o FBI, a CISA e o Tesouro americano (aviso conjunto), o Departamento de Justiça dos EUA (apreensões), além da Microsoft e da Google Threat Intelligence / Mandiant para o lado da infiltração em empresas.

Como esse grupo se infiltra em empresas reais?

Se passando por desenvolvedores ou freelancers remotos, com perfis e identidades falsas, para obter acesso legítimo aos sistemas da empresa contratante.

Qual é a relação com os golpes que uma pessoa comum recebe?

Nenhuma relação direta para a maioria das vítimas de golpes por telefone ou phishing comum — mas esse caso mostra o quanto a fraude organizada virou uma indústria estruturada, com técnicas (engenharia social, perfis falsos) que depois se espalham para golpes mais comuns.

Para saber mais