O Departamento de Justiça dos EUA (DoJ) afirmou que entrou com uma queixa de confisco civil em tribunal federal visando mais de $7,74 milhões em criptomoeda, tokens não fungíveis (NFTs) e outros ativos digitais supostamente ligados a um esquema global de trabalhadores de TI orquestrado pela Coreia do Norte.
"Há anos, a Coreia do Norte tem explorado o ecossistema global de contratação remota de TI e de criptomoedas para evadir as sanções dos EUA e financiar seus programas de armas," disse Sue J. Bai, chefe da Divisão de Segurança Nacional do Departamento de Justiça.
O Departamento de Justiça disse que os fundos foram originalmente retidos em conexão com uma acusação de abril de 2023 contra Sim Hyon-Sop, um representante do Banco de Comércio Exterior da Coreia do Norte (FTB) que é acreditado ter conspirado com os trabalhadores de TI.
Os trabalhadores de TI, adicionou o departamento, conseguiram emprego em empresas de criptomoedas dos EUA usando identidades falsas e então lavaram seus lucros ilícitos por meio de Sim para promover os objetivos estratégicos de Pyongyang em violação às sanções impostas pelo Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA e das Nações Unidas.
O esquema fraudulento evoluiu para uma operação maciça desde sua origem em 2017.
A operação de emprego ilegal alavanca uma combinação de identidades roubadas e fictícias, auxiliada com a ajuda das ferramentas de inteligência artificial (AI) como OpenAI ChatGPT, para contornar verificações de diligência e garantir trabalhos freelance.
Rastreado sob os codinomes Wagemole e UNC5267, a atividade é avaliada como afiliada ao Partido dos Trabalhadores da Coreia e é vista como uma estratégia engenhosamente projetada para embutir trabalhadores de TI dentro de empresas legítimas para atrair uma fonte constante de receita para a República Popular Democrática da Coreia (DPRK).
Além de deturparem identidades e locais, um aspecto central da operação envolve recrutar facilitadores para operar fazendas de laptops ao redor do mundo, possibilitar fases de entrevista em vídeo, bem como lavar os lucros de volta por meio de várias contas.
Uma dessas facilitadoras de fazenda de laptops foi Christina Marie Chapman, que se declarou culpada em fevereiro deste ano por seu envolvimento no esquema de regeneração de receita ilícita.
Em um relatório publicado no mês passado, The Wall Street Journal revelou como uma mensagem no LinkedIn em março de 2020 atraiu Chapman, uma ex-garçonete e massagista com mais de 100.000 seguidores no TikTok, para o esquema intrincado.
Ela está programada para ser sentenciada em 16 de julho.
"Após lavar esses fundos, os trabalhadores de TI norte-coreanos supostamente os enviaram de volta ao governo norte-coreano, às vezes via Sim e Kim Sang Man," disse o DoJ.
"Kim é um cidadão norte-coreano que é o diretor executivo da 'Chinyong', também conhecida como 'Jinyong IT Cooperation Company.'"
Uma análise da carteira de criptomoeda de Sim feita pela TRM Labs revelou que ela recebeu mais de $24 milhões em criptomoeda de agosto de 2021 a março de 2023.
Avaliação Organizacional da Coreia do Norte
"A maioria desses fundos foi rastreada de volta para as contas de Kim, que foram abertas usando documentos de identidade russos forjados e acessadas de dispositivos que operam em língua coreana a partir dos E.A.U. e da Rússia," disse a TRM Labs.
Sim, um oficial norte-coreano, operava de Dubai e mantinha uma carteira autogerenciada que recebia fundos lavados de dezenas de fontes.
Kim, a partir de sua base em Vladivostok, Rússia, atuou como intermediário entre os trabalhadores de TI e o FTB, utilizando duas contas para coletar fundos deles e redistribuir os lucros para Sim e para outras carteiras conectadas à Coreia do Norte.
A empresa de cibersegurança DTEX caracterizou a ameaça de trabalhadores de TI como um sindicato de crime patrocinado pelo estado que está principalmente voltado para a evasão de sanções e geração de lucros, com os atores de ameaças gradualmente mudando de fazendas de laptops para usar suas próprias máquinas como parte das políticas de Traga Seu Próprio Dispositivo (BYOD) das empresas.
"A oportunidade é realmente sua única tática e tudo é tratado como uma ferramenta de algum tipo," disse Michael Barnhart, DTEX Principal i3 Investigador de Risco Interno na DTEX Systems.
Se o foco está nas fazendas de laptops, o que tem sido muito bom em divulgar essa questão, então naturalmente essa nação oportunista quer gravitar para onde o caminho é muito mais fácil se está impactando operações.
Até que as fazendas de laptops não sejam mais eficazes de todo, essa ainda será uma opção, mas o abuso do BYOD foi algo que a DTEX viu em investigações e não foi tão divulgado quanto as fazendas.
A DTEX também destacou que esses trabalhadores de TI podem cair em uma das duas categorias: Trabalhadores de TI de Receita (R-ITW) ou Trabalhadores de TI Maliciosos (M-ITW), cada um deles com sua própria função dentro da estrutura cibernética da Coreia do Norte.
Enquanto os funcionários R-ITW são ditos ser menos privilegiados e principalmente motivados a ganhar dinheiro para o regime, os atores M-ITW vão além da geração de receita ao extorquir um cliente vítima, sabotar um servidor de criptomoeda, roubar propriedade intelectual valiosa ou executar código malicioso em um ambiente.
Chinyong, conforme a empresa de gerenciamento de risco interno, é uma das muitas empresas de TI que implantou seus trabalhadores para conduzir uma combinação de trabalho de TI freelance e roubo de criptomoeda aproveitando seu acesso interno a projetos de blockchain.
Opera fora da China, Laos e Rússia.
Dois indivíduos associados aos esforços de trabalhadores de TI relacionados à Chinyong foram desmascarados por terem usado as personas Naoki Murano e Jenson Collins para arrecadar fundos para a Coreia do Norte, com Murano anteriormente ligado a um assalto de $6 milhões na empresa de cripto DeltaPrime em setembro de 2024.
"Em última análise, a detecção de fazendas de laptops vinculadas à DPRK e esquemas de trabalhadores remotos requer que os defensores olhem além dos tradicionais indicadores de comprometimento e comecem a fazer perguntas diferentes - sobre infraestrutura, comportamento e acesso," o pesquisador de segurança Matt Ryan disse.
Essas campanhas não são apenas sobre malware ou phishing; elas são sobre o engano em escala, muitas vezes executado de maneiras que se misturam de forma transparente com o trabalho remoto legítimo.
Investigações adicionais no fraude multi-milionária revelaram várias contas vinculadas a domínios falsos configurados para as várias empresas de fachada usadas para fornecer referências falsas para os trabalhadores de TI.
Essas contas foram infectadas com malware de roubo de informações, a Flashpoint observou, permitindo que sinalizasse alguns aspectos de sua perícia.
A empresa disse que identificou um host comprometido localizado em Lahore, Paquistão, que continha uma credencial salva para uma conta de e-mail que foi usada como ponto de contato ao registrar os domínios associados a Baby Box Info, Helix US, e Cubix Tech US.
Além disso, o histórico do navegador capturado pelo malware em outra instância desmascarou URLs do Google Translate relacionadas a dezenas de traduções entre inglês e coreano, incluindo aquelas relacionadas a fornecer referências de emprego falsificadas e enviar dispositivos eletrônicos.
Isso não é tudo.
Pesquisas recentes também revelaram um "sistema de controle remoto encoberto e multinível" usado por trabalhadores de TI da Coreia do Norte para estabelecer acesso persistente aos laptops emitidos pela empresa em uma fazenda de laptops enquanto estavam fisicamente localizados na Ásia.
"A operação aproveitou uma combinação de sinalização de protocolo de baixo nível e ferramentas legítimas de colaboração para manter o acesso remoto e permitir visibilidade e controle de dados usando o Zoom," Sygnia disse em um relatório publicado em abril de 2025.
A cadeia de ataque [...] envolveu o abuso de pacotes ARP para acionar ações baseadas em eventos, um canal personalizado de comando e controle (C2) baseado em WebSocket, e automação dos recursos de controle remoto do Zoom.
Para aprimorar ainda mais o sigilo e a automação, configurações específicas do cliente Zoom foram necessárias.
Configurações foram meticulosamente ajustadas para prevenir indicadores voltados para o usuário e perturbações audiovisuais.
Os usuários permaneceram assinados persistentemente, vídeo e áudio foram automaticamente silenciados ao entrar, nomes dos participantes foram ocultos, o compartilhamento de tela iniciado sem indicadores visíveis, e janelas de pré-visualização desativadas.
Ryan teorizou que o controle remoto do Zoom provavelmente é usado em conjunto com Raspberry Pi Zeros de baixo custo para C2 na rede de área local (LAN) da fazenda de laptops para alcançar acesso remoto em escala e simular interação real do usuário em dezenas de dispositivos.
Rodando em complementação ao Wagemole está outra campanha referida como Entrevista Contagiosa (aka DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, e Void Dokkaebi) que conduz principalmente atividade maliciosa visando desenvolvedores para ganhar acesso não autorizado à empresa em oposição a ganhar emprego.
"Gwisin Gang francamente são trabalhadores de TI que, em vez de passar pelo longo processo de se candidatar a um trabalho, visam alguém que já tem o trabalho," Barnhart disse.
Eles parecem elevados e únicos na medida em que têm uso de malware que ecoa essa noção também.
'Trabalhadores de TI' é um termo abrangente, no entanto, e existem muitos estilos, variedades e níveis de habilidade entre eles.
Quanto à forma como o esquema de trabalhadores de TI poderia evoluir nos próximos anos, Barnhart aponta para o setor financeiro tradicional como alvo.
"Com a implementação de blockchain e tecnologias Web3 em instituições financeiras tradicionais, acho que todos os ativos cibernéticos da DPRK nesse espaço vão estar visando ter uma corrida nessas empresas da maneira como acontecia nos anos anteriores," Barnhart destacou.
Quanto mais nos integramos com essas tecnologias, mais cuidado temos que ter pois a DPRK está muito enraizada.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...