Em uma operação de inteligência sem precedentes, pesquisadores de segurança revelaram como recrutadores norte-coreanos atraem desenvolvedores para alugar suas identidades com o objetivo de gerar receita para o regime.
O grupo Famous Chollima, também conhecido como WageMole, integra a Lazarus, organização patrocinada pelo Estado da Coreia do Norte.
Ele é conhecido por campanhas de engenharia social que visam infiltrar empresas ocidentais para espionagem e geração de receita.
Os agentes conseguiram enganar recrutadores e garantir empregos em companhias da Fortune 500 utilizando identidades roubadas e tecnologias de inteligência artificial, incluindo vídeos deepfake.
Além disso, evitavam participar de entrevistas por vídeo.
Outra tática consiste em recrutar engenheiros legítimos, persuadindo-os a atuar como “laranjas” nas operações dos agentes norte-coreanos para conseguir vagas remotas em empresas-alvo.
O “laranja” precisaria ser a face do agente durante as entrevistas e receberia entre 20% e 35% do salário enquanto durasse o contrato.
Para obter pagamentos maiores, o engenheiro comprometido permitiria que os agentes norte-coreanos acessassem seu computador, ocultando assim a verdadeira localização dos atacantes e servindo como proxy para atividades maliciosas.
Mauro Eldritch, hacker e especialista em threat intelligence da BCA LTD, alerta que o engenheiro que “aluga” sua identidade assume todos os riscos e será o único responsável por quaisquer danos causados.
Eldritch conhece bem as táticas do Famous Chollima, tendo liderado o Quetzal Team, grupo de pesquisa de ameaças Web3 da empresa de serviços financeiros digitais Bitso.
Ele documentou diversas tentativas dos agentes da Coreia do Norte em recrutar desenvolvedores dispostos a ganhar dinheiro fácil.
Recentemente, Eldritch identificou várias contas no GitHub que divulgavam anúncios de recrutamento para entrevistas técnicas em diferentes linguagens (.NET, Java, C#, Python, JavaScript, Ruby, Golang, Blockchain), utilizando identidades falsas.
O candidato não precisava ser especialista, pois o recrutador oferecia ajuda para responder às perguntas durante a entrevista.
A remuneração prometida girava em torno de US$ 3.000 mensais — uma oferta bastante atrativa.
Eldritch aceitou o desafio e, junto a Heiner García, da iniciativa NorthScan de inteligência contra ameaças norte-coreanas, preparou uma operação para expor essa infiltração.
Utilizando o serviço ANY.RUN, que oferece ambientes sandbox para análise de malware, eles criaram uma “fazenda de laptops” simulada para monitorar a atividade dos agentes em tempo real.
García interpretou o papel de um engenheiro iniciante chamado Andy Jones, supostamente dos Estados Unidos.
Eles replicaram um perfil no GitHub que imitava o original de Jones, incluindo repositórios públicos e dados associados.
Após várias conversas com o recrutador, o agente norte-coreano solicitou acesso remoto 24 horas por dia ao laptop via AnyDesk, sob o pretexto de “trabalho remoto”.
Também pediu nome completo, status de visto, endereço e documentos para aplicar a entrevistas como Andy Jones.
Para atuar como “laranja”, a persona de Eldritch receberia 20% do salário — ou 10% caso apenas cedesse os dados e o laptop, enquanto o agente realizasse as entrevistas.
Foi solicitada ainda a apresentação do número de seguro social (SSN) para checagens e confirmação em plataformas compatíveis com KYC (Know Your Customer).
Com o ambiente sandbox configurado na Alemanha e o tráfego passando por um proxy residencial para simular localização nos EUA, os pesquisadores permitiram a conexão remota enquanto mantinham controle total do sistema.
Eles bloquearam qualquer navegação indevida, podiam desligar a máquina a qualquer momento para interromper ações maliciosas e retardaram as respostas do “recrutador”, testando sua paciência.
Em uma ocasião, prenderam o agente em um loop de login e CAPTCHA por quase uma hora, tudo enquanto coletavam informações sobre a operação, os envolvidos, parceiros em outros países e ferramentas utilizadas.
Foi observada a utilização de extensões com inteligência artificial, como AIApply, Simplify Copilot, Final Round AI e Saved Prompts, que auxiliavam no preenchimento automático de candidaturas, elaboração de currículos e respostas em tempo real durante as entrevistas.
Além disso, o atacante usava autenticação por OTP, Google Remote Desktop e realizava rotinas de reconhecimento do sistema.
Em um momento, o recrutador falso sincronizou seu perfil do Google, permitindo acesso à sua caixa de e-mails, histórico de assinaturas em plataformas de emprego, extensões instaladas e canais do Slack.
Os pesquisadores notaram comunicações frequentes com uma pessoa chamada Zeeshan Jamshed, que mencionou estar ausente devido ao Eid, celebração muçulmana.
De acordo com o relatório, a equipe Famous Chollima envolvida nessa operação tinha seis membros identificados pelos codinomes Mateo, Julián, Aaron, Jesús, Sebastián e Alfredo.
Contudo, existem diversos grupos norte-coreanos realizando ações similares, com até dez integrantes cada, que competem entre si na busca por vítimas.
As informações levantadas nesta investigação oferecem um alerta importante para empresas de todos os portes, permitindo antecipar as estratégias do grupo, interromper suas operações e melhorar a detecção com base em comportamentos, para além das tradicionais análises dos indicadores de comprometimento (IoCs) de malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...