Um artigo publicado pela tradicional revista hacker PHRACK em agosto de 2025 revelou um grande vazamento de dados atribuídos ao Kimsuky, grupo de hackers associado à Coreia do Norte. O episódio, batizado de “APT Down — The North Korea Files”, gerou repercussão não apenas pelo conteúdo técnico divulgado, mas também pela reação da Proton, empresa suíça conhecida por seu serviço de e-mail criptografado.

Segundo a denúncia, contas usadas por um whistleblower – uma espécie de denunciante, que mostra inconformidades e atividades ilegais –, e pelo autor do artigo foram suspensas pela Proton dias após a divulgação do material, levantando dúvidas sobre até onde vão as promessas de privacidade de serviços comerciais.

O termo APT (Advanced Persistent Threat) é usado para designar grupos hackers sofisticados, geralmente ligados a Estados, que conduzem ataques de espionagem ou sabotagem digital de longo prazo. O Kimsuky, ativo desde pelo menos 2013, é apontado por agências de inteligência como braço da Coreia do Norte voltado à espionagem contra governos e empresas estrangeiras, com foco especial na Coreia do Sul.

No artigo, os autores afirmam ter comprometido um operador individual do Kimsuky e obtido:

• Backups pessoais e corporativos, que incluíam registros de atividades e documentos;
• Credenciais de acesso (logins e senhas) usadas em operações do grupo;
• Ferramentas e códigos maliciosos utilizados em ataques cibernéticos;
• Histórico de comunicações, supostamente envolvendo interações com agências sul-coreanas, como a KISA (Korea Internet & Security Agency) e a KrCERT (Computer Emergency Response Team da Coreia).

Antes de tornar público, o grupo diz ter tentado alertar essas agências sobre o material encontrado. Dias depois, parte desse acervo foi publicado na PHRACK como “prova” do vazamento.

O que o Proton disse?

Os autores relatam que usaram contas do Proton Mail e do Proton Drive. Em 15 de agosto de 2025, a conta do whistleblower foi desativada. No dia seguinte, a conta do autor também foi suspensa.

Ao pedir suporte da empresa, os informantes receberam como resposta apenas que “sua conta causaria mais danos ao serviço” e, portanto, permaneceria suspensa. Não houve explicação detalhada sobre quais regras foram violadas ou se havia ordem legal associada. 

A atitude foi interpretada pela comunidade hacker como um ato de censura e um sinal de que, em casos de alta sensibilidade, a Proton pode agir em alinhamento a pressões externas, ainda que a empresa se promova como resistente a governos.

Operando a partir da Suíça, a Proton oferece serviços seguros com criptografia de ponta a ponta, priorizando a privacidade dos usuários.

A resposta afirmava que eles não estavam ignorando os autores: “Fomos alertados por um CERT de que certas contas estavam sendo utilizadas indevidamente por hackers, violando os Termos de Serviço,” alegou a empresa. A Proton informou, em comunicado, que isso levou à desativação de várias contas e que sua equipe está analisando cada caso individualmente para avaliar a possibilidade de restauração.

Outros casos parecidos

Essa não é a primeira vez que a Proton toma decisões controversas diante governos. Em 2021, um ativista climático francês foi preso após a Proton fornecer endereço IP e dados do dispositivo usados para acessar uma conta de e-mail — e isso, apesar da criptografia ponta a ponta do serviço. 

A polícia francesa, que investigava um grupo que ocupava imóveis em protesto contra a gentrificação, conseguiu acessar essas informações por meio de uma ordem legal emitida na Suíça, via Europol. A Proton explicou que tinha obrigação jurídica de cumprir, apesar de sua reputação de privacidade. 

O CEO Andy Yen explicou que a empresa foi legalmente obrigada a atender à solicitação e não teve como contestá-la, conforme a legislação suíça. Ele ressaltou ainda que, por lei, o Proton VPN é impedido de entregar dados em casos como esse.

A Proton está sediada na Suíça, e serviços de e-mail se enquadram nas leis locais. Estrangeiros (neste caso, policiais franceses) não têm acesso direto — eles precisam recorrer às autoridades suíças via canais oficiais, como a Europol. Com a ordem judicial, a Proton é obrigada a registrar e fornecer metadados, como IP e horário de acesso, mesmo que a criptografia impeça o acesso ao conteúdo das mensagens.

Quer saber mais sobre casos como esse? Acompanhe o TecMundo nas redes sociais e no YouTube. Para receber notícias como essa, assine nossa newsletter.