O Departamento do Tesouro dos EUA, mais especificamente o Escritório de Controle de Ativos Estrangeiros (OFAC), na terça-feira, impôs sanções a um membro de um grupo de hackers norte-coreano conhecido como Andariel, devido ao seu papel no infame esquema de trabalhadores de tecnologia da informação (TI) remotos.
O Tesouro declarou que Song Kum Hyok, um cidadão norte-coreano de 38 anos com endereço na província chinesa de Jilin, possibilitou a operação fraudulenta utilizando trabalhadores de TI contratados no exterior para buscar emprego remoto em empresas dos EUA, planejando dividir os rendimentos com eles.
Entre 2022 e 2023, alega-se que Song usou as identidades de pessoas dos EUA, incluindo seus nomes, endereços e números de Seguro Social, para criar pseudônimos para os trabalhadores contratados, que então usaram essas personas para se passar por cidadãos americanos em busca de empregos remotos no país.
Essa revelação surge dias após o Departamento de Justiça dos EUA (DoJ) anunciar ações abrangentes direcionadas ao esquema de trabalhadores de TI norte-coreanos, levando à prisão de um indivíduo e à apreensão de 29 contas financeiras, 21 sites fraudulentos e quase 200 computadores.
Sanções também foram impostas a um cidadão russo e quatro entidades envolvidas em um esquema de trabalhadores de TI baseado na Rússia que contratou e hospedou norte-coreanos para realizar a operação maliciosa.
Isso inclui:
- Gayk Asatryan, que usou suas empresas baseadas na Rússia, Asatryan LLC e Fortuna LLC, para empregar trabalhadores de TI norte-coreanos;
- Korea Songkwang Trading General Corporation, que fez um acordo com Asatryan para enviar até 30 trabalhadores de TI para trabalhar na Rússia para a Asatryan LLC;
- Korea Saenal Trading Corporation, que fez um acordo com Asatryan para enviar até 50 trabalhadores de TI para trabalhar na Rússia para a Fortuna LLC.
As sanções marcam a primeira vez que um ator de ameaças vinculado ao Andariel, um sub-grupo dentro do Grupo Lazarus, foi associado ao esquema de trabalhadores de TI, que se tornou um fluxo de receita ilícito crucial para a nação sancionada.
O Grupo Lazarus é avaliado como afiliado ao Escritório de Reconhecimento Geral da República Popular Democrática da Coreia (DPRK) (RGB).
A ação "sublinha a importância da vigilância nos contínuos esforços da DPRK para financiar clandestinamente seus programas de armas de destruição em massa (WMD) e mísseis balísticos", disse o secretário-adjunto do Tesouro, Michael Faulkender.
O Tesouro permanece comprometido em usar todas as ferramentas disponíveis para interromper os esforços do regime de Kim [Jong Un] para burlar as sanções por meio de roubo de ativos digitais, tentativa de se passar por americanos e ataques cibernéticos maliciosos
O esquema de trabalhadores de TI, também monitorado como Nickel Tapestry, Wagemole e UNC5267, envolve atores norte-coreanos usando uma mistura de identidades roubadas e fictícias para obter emprego com empresas dos EUA como trabalhadores remotos de TI, com o objetivo de receber um salário regular que é então canalizado de volta para o regime por meio de transações complexas de criptomoeda.
Dados compilados pela TRM Labs mostram que a Coreia do Norte está por trás de aproximadamente US$ 1,6 bilhão dos US$ 2,1 bilhões roubados como resultado de 75 hacks e explorações de criptomoeda apenas no primeiro semestre de 2025, principalmente impulsionados pelo grande assalto ao Bybit no início deste ano.
A maioria das medidas tomadas para contrapor a ameaça aparentemente veio das autoridades dos EUA, mas Michael "Barni" Barnhart, Investigador Principal de Risco Interno i3 na DTEX, disse ao The Hacker News que outros países também estão se mobilizando e adotando ações semelhantes, além de aumentar a conscientização para um público mais amplo.
"Este é um problema transnacional complexo com muitas partes móveis, então a colaboração internacional e a comunicação aberta são extremamente úteis", disse Barnhart.
"Para dar um exemplo das complexidades deste problema, um trabalhador de TI norte-coreano pode estar fisicamente localizado na China, empregado por uma empresa de fachada que se passa por uma firma sediada em Singapura, contratado por um fornecedor europeu que presta serviços a clientes nos Estados Unidos.
Esse nível de camadas operacionais destaca quão importante são as investigações conjuntas e o compartilhamento de inteligência para combater efetivamente essa atividade."
"A boa notícia é que a conscientização cresceu significativamente nos últimos anos, e agora estamos vendo os frutos desse trabalho.
Esses primeiros passos de conscientização fazem parte de uma mudança global mais ampla em direção ao reconhecimento e à interrupção ativa dessas ameaças."
Notícias das sanções coincidem com relatos de que o grupo alinhado com a Coreia do Norte, conhecido como Kimsuky (ou APT-C-55), está usando um backdoor chamado HappyDoor em ataques direcionados a entidades sul-coreanas.
De acordo com a AhnLab, o HappyDoor está em uso desde 2021.
Normalmente distribuído via ataques de spear-phishing por e-mail, o malware teve melhorias constantes ao longo dos anos, permitindo que ele colete informações sensíveis; execute comandos, código PowerShell e scripts em lote; e faça upload de arquivos de interesse.
"Principalmente se disfarçando de professor ou instituição acadêmica, o ator da ameaça tem usado técnicas de engenharia social como spear-phishing para distribuir e-mails com anexos que, uma vez executados, instalam um backdoor e também podem instalar malware adicional", observou a AhnLab.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...