Egidio
Dossiê · 2026

Redes criminosas documentadas: o caso Lazarus

Nem todas as fraudes são artesanais — algumas são conduzidas por grupos estruturados, documentados nomeadamente por agências federais e empresas de segurança. Eis um caso particularmente bem acompanhado.

Quem documenta este grupo

O grupo conhecido como Lazarus (do qual um subgrupo é identificado como "TraderTraitor") é acompanhado conjuntamente por várias agências norte-americanas e empresas de segurança, com comunicados públicos nomeados e datados — não rumores.

Abril de 2022
Aviso conjunto do FBI, da CISA (agência de cibersegurança norte-americana) e do Tesouro dos EUA, atribuindo as atividades do TraderTraitor ao grupo Lazarus.
2023
O Departamento de Justiça dos EUA anuncia a apreensão de mais de 15 milhões de dólares em criptoativos roubados pelo grupo em quatro plataformas de câmbio.
Maio de 2024
Roubo de 308 milhões de dólares na plataforma de câmbio DMM Bitcoin — atribuído ao TraderTraitor pelo FBI e pela polícia nacional japonesa (NPA).
Final de 2024
Roubo de 1,5 mil milhões de dólares na plataforma Bybit — atribuição pública do FBI aos atores norte-coreanos do TraderTraitor.
2025
A Microsoft e a Google Threat Intelligence / Mandiant documentam uma vertente distinta: operadores fazendo-se passar por falsos programadores ou trabalhadores independentes remotos, infiltrando-se em empresas reais para lhes roubar criptoativos ou propriedade intelectual.
1,5 mM$
Roubo atribuído ao grupo na plataforma Bybit, no final de 2024.
FBI, atribuição pública, final de 2024. Consultado a 14/07/2026.
308 M$
Roubo na plataforma DMM Bitcoin, maio de 2024.
FBI & polícia nacional japonesa (NPA), maio de 2024. Consultado a 14/07/2026.

O método: infiltrar, não apenas invadir

O que distingue esta vertente do grupo é que não se limita a atacar do exterior: operadores fazem-se contratar como verdadeiros funcionários ou prestadores — currículo falso, identidade falsa, entrevistas superadas com sucesso — para obter acesso legítimo aos sistemas da empresa. Uma vez lá dentro, podem desviar fundos, roubar propriedade intelectual ou instalar ferramentas maliciosas.

Porque este caso importa, mesmo sem ligação direta à sua caixa de correio

A maioria das burlas que um particular recebe não tem qualquer ligação direta a este grupo específico. Mas este caso ilustra a escala a que a fraude organizada se estruturou: já não são indivíduos isolados, mas redes com métodos documentados, que depois se espalham para burlas mais comuns — falsos recrutadores, engenharia social, perfis falsos.

🔒 Quer a ameaça venha de um grupo organizado ou de um burlão isolado, o princípio de proteção mantém-se o mesmo: identificar o esquema, não apenas a mensagem isolada. É exatamente isso que faz o Medusa, o motor da Egidio. Veja como funciona.

Perguntas frequentes

Quem documenta as atividades do grupo Lazarus?

Organismos públicos e privados nomeadamente identificados: o FBI, a CISA e o Tesouro norte-americano (aviso conjunto), o Departamento de Justiça dos EUA (apreensões), bem como a Microsoft e a Google Threat Intelligence / Mandiant no que toca à infiltração em empresas.

Como é que este grupo se infiltra em empresas reais?

Fazendo-se passar por programadores ou trabalhadores independentes remotos, com perfis e identidades falsas, para obter acesso legítimo aos sistemas da empresa empregadora.

Qual a ligação com as burlas que um particular recebe?

Nenhuma ligação direta para a maioria das vítimas de contacto não solicitado ou phishing clássico — mas este caso ilustra até que ponto a fraude organizada se tornou uma indústria estruturada, com técnicas (engenharia social, perfis falsos) que depois se infiltram em burlas mais comuns.

Para ir mais longe