Vários clusters de atividades de ameaças com vínculos com a Coreia do Norte (também conhecida como República Popular Democrática da Coreia ou RPDC) foram associados a ataques direcionados a organizações e indivíduos no espaço da Web3 e da criptomoeda.
"O foco na Web3 e nas criptomoedas parece ser principalmente motivado financeiramente devido às pesadas sanções que foram impostas à Coreia do Norte," disse a Mandiant, de propriedade da Google, em seu relatório M-Trends para 2025 compartilhado.
Estas atividades visam gerar ganhos financeiros, supostamente financiando o programa de armas de destruição em massa (WMD) da Coreia do Norte e outros ativos estratégicos.
A empresa de cibersegurança disse que atores de ameaças com nexos com a RPDC desenvolveram ferramentas personalizadas escritas numa variedade de linguagens como Golang, C++ e Rust, e são capazes de infectar sistemas operacionais Windows, Linux e macOS.
Pelo menos três clusters de atividades de ameaças que ela monitora como UNC1069, UNC4899, e UNC5342 foram encontrados visando membros da comunidade de criptomoedas e desenvolvimento de blockchain, focando especialmente em desenvolvedores trabalhando em projetos adjacente à Web3 para obter acesso ilícito a carteiras de criptomoedas e às organizações que os empregam.
Uma breve descrição de cada um dos atores de ameaças é dada a seguir:
- UNC1069 (Ativo desde pelo menos abril de 2018), que visa diversas indústrias para ganho financeiro usando ardis de engenharia social enviando convites falsos para reuniões e se passando por investidores de empresas reputadas no Telegram para ganhar acesso aos ativos digitais e criptomoedas das vítimas.
- UNC4899 (Ativo desde 2022), conhecido por orquestrar campanhas temáticas de emprego que entregam malware como parte de um suposto teste de codificação e que previamente orquestrou comprometimentos de cadeia de suprimentos para ganho financeiro (Sobreposições com Jade Sleet, PUKCHONG, Slow Pisces, e TraderTraitor).
- UNC5342 (Ativo desde pelo menos dezembro de 2022), também conhecido por utilizar iscas relacionadas a emprego para enganar desenvolvedores a executar projetos com malware (Sobreposições com Contagious Interview, DeceptiveDevelopment, DEV#POPPER, e Famous Chollima).
Outro ator de ameaça norte-coreano digno de nota é UNC4736, que tem como alvo a indústria de blockchain trojanizando aplicativos de software de negociação e que foi atribuído a um ataque cascata na cadeia de suprimentos em 3CX no início de 2023.
A Mandiant disse que também identificou um cluster separado de atividade norte-coreana rastreada como UNC3782 que conduz campanhas de phishing em larga escala visando o setor de criptomoedas.
"Em 2023, UNC3782 conduziu operações de phishing contra usuários da TRON e transferiu mais de $137 milhões USD em ativos em um único dia," a empresa observou.
UNC3782 lançou uma campanha em 2024 para visar usuários da Solana e direcioná-los para páginas que continham drenadores de criptomoeda.
O roubo de criptomoeda é um dos vários meios que a RPDC perseguiu para contornar sanções internacionais.
Pelo menos desde 2022, um cluster de ameaça ativo, apelidado de UNC5267, enviou milhares de seus cidadãos para obter empregos remotos em empresas nos EUA, Europa e Ásia, enquanto residiam principalmente na China e na Rússia.
Um grande número de trabalhadores de TI é dito estar afiliado ao 313º General Bureau do Departamento da Indústria de Munições, que é responsável pelo programa nuclear na Coreia do Norte.
Os trabalhadores de TI norte-coreanos, além de fazerem uso de identidades roubadas, utilizaram personas totalmente fabricadas para apoiar suas atividades.
Isso também é complementado pelo uso de tecnologia deepfake em tempo real para criar identidades sintéticas convincentes durante entrevistas de emprego.
"Isto oferece duas vantagens operacionais principais. Primeiro, permite que um único operador faça entrevista para a mesma posição várias vezes usando diferentes personas sintéticas," disse o pesquisador da Unit 42 da Palo Alto Networks, Evan Gordenker.
Segundo, ajuda os operativos a evitar serem identificados e adicionados a boletins de segurança e avisos de procurados.
Combinado, isso ajuda os trabalhadores de TI da RPDC a desfrutar de segurança operacional aprimorada e detectabilidade diminuída.
O esquema de trabalhadores de TI da RPDC, que eleva as ameaças internas a um novo nível, é projetado para canalizar seus salários de volta para Pyongyang para avançar seus objetivos estratégicos, manter acesso de longo prazo às redes das vítimas e até extorquir seus empregadores.
"Eles também intensificaram campanhas de extorsão contra empregadores, e moveram-se para conduzir operações em desktops virtuais corporativos, redes e servidores," disseram Jamie Collier e Michael Barnhart do Google Threat Intelligence Group (GTIG) em um relatório no mês passado.
Eles agora usam seu acesso privilegiado para roubar dados e possibilitar ciberataques, além de gerar receita para a Coreia do Norte.
Em 2024, a Mandiant disse ter identificado um suspeito trabalhador de TI da RPDC usando pelo menos 12 personas enquanto buscava emprego nos EUA e na Europa, destacando a eficácia de recorrer a métodos não convencionais para infiltrar organizações sob falsos pretextos.
Em pelo menos uma instância, duas identidades falsas foram consideradas para um emprego em uma empresa dos EUA, com um trabalhador de TI da RPDC levando a melhor sobre o outro," a firma de inteligência de ameaças destacou.
Em outra instância, "quatro suspeitos trabalhadores de TI da RPDC foram empregados dentro de um período de 12 meses em uma única organização.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...