Acabei de ficar por dentro de algo bastante importante no espaço de segurança. Aquele ataque da Radiant Capital de que todo mundo tem falado? Acontece que foi o UNC4736 - o grupo ligado ao estado norte-coreano que também é rastreado como AppleJeus ou Citrine Sleet.

O que realmente é interessante aqui não é apenas que eles realizaram o ataque, mas como fizeram isso. Esses caras são conhecidos por conduzir operações cibernéticas extremamente sofisticadas, e este mostra exatamente o porquê. As pessoas diretamente envolvidas na violação da Radiant nem eram cidadãos norte-coreanos — elas usaram intermediários de terceiros.

Essa é a parte que chamou minha atenção. As identidades com as quais esses intermediários estavam trabalhando? Meticulosamente construídas. Estamos falando de personas especificamente criadas para passar pelas verificações de diligência devida. Isso não é coisa de amador. Mostra um nível de planejamento operacional que vai muito além de apenas habilidade técnica.

O UNC4736 vem operando dessa forma há algum tempo — usando intermediários e atores proxy para criar distância entre a operação real e a atribuição ao estado. É eficaz porque adiciona camadas de negação plausível e torna a cadeia de investigação mais difícil de rastrear.

Se você está envolvido com DeFi ou gerenciando um protocolo, isso vale a pena entender. O cenário de ameaças não é mais apenas sobre encontrar vulnerabilidades — é sobre como atores sofisticados usam engenharia social e fabricação de identidade como parte de seu vetor de ataque. Algo para ficar de olho.