Acabei de ficar a par de algo bastante importante no espaço de segurança. Aquele ataque da Radiant Capital de que todos têm falado? Acontece que foi o UNC4736 - o grupo ligado ao estado norte-coreano que também é rastreado como AppleJeus ou Citrine Sleet.

O que realmente é interessante aqui não é apenas que eles realizaram o ataque, mas como o fizeram. Estes indivíduos são conhecidos por conduzirem operações cibernéticas extremamente sofisticadas, e este exemplo mostra exatamente porquê. As pessoas diretamente envolvidas na violação da Radiant nem sequer eram nacionais norte-coreanos - usaram intermediários de terceiros.

Esta é a parte que chamou minha atenção. As identidades com as quais esses intermediários estavam a trabalhar? Meticulosamente construídas. Estamos a falar de personas especificamente criadas para passar despercebidas nas verificações de diligência. Isso não é coisa de amadores. Mostra um nível de planeamento operacional que vai muito além de apenas habilidade técnica.

O UNC4736 tem operado desta forma há algum tempo - usando intermediários e atores proxy para criar distância entre a operação real e a atribuição ao estado. É eficaz porque adiciona camadas de negação plausível e torna a cadeia de investigação mais difícil de rastrear.

Se estás envolvido em DeFi ou a gerir um protocolo, isto vale a pena entender. O panorama de ameaças não se resume apenas a encontrar vulnerabilidades - trata-se de como atores sofisticados usam engenharia social e fabricação de identidades como parte do seu vetor de ataque. Algo para ficar atento.