Trabalhadores de TI da Coreia do Norte expandiram suas operações além dos Estados Unidos e agora estão cada vez mais visando organizações por toda a Europa.
Também referidos como "guerreiros de TI", eles escondem suas verdadeiras identidades e se passam por trabalhadores baseados em outros países, conectando-se via fazendas de laptops para garantir posições fraudulentamente como funcionários remotos freelancer de TI em empresas pelo mundo todo para gerar receita para o regime da República Popular Democrática da Coreia (RPDC).
Como os pesquisadores de segurança do Google Threat Intelligence Group (GTIG) descobriram, o exército de TI da Coreia do Norte tem visado cada vez mais posições em empresas na Alemanha, Portugal e no Reino Unido, após muitos de seus membros terem sido acusados e alvo de sanções nos Estados Unidos.
"Em seus esforços para garantir essas posições, os trabalhadores de TI da RPDC empregaram táticas enganosas, reivindicando falsamente nacionalidades de um conjunto diversificado de países, incluindo Itália, Japão, Malásia, Singapura, Ucrânia, Estados Unidos e Vietnã. As identidades usadas eram uma combinação de personas reais e fabricadas", disse Jamie Collier, um conselheiro líder de inteligência de ameaças no GTIG.
Trabalhadores de TI na Europa foram recrutados por meio de várias plataformas online, incluindo Upwork, Telegram e Freelancer.
O pagamento pelos seus serviços foi facilitado por meio de criptomoeda, o serviço TransferWise e Payoneer, destacando o uso de métodos que ofuscam a origem e destino dos fundos.
Por exemplo, investigadores do GTIG descobriram credenciais de usuário em sites de empregos europeus e plataformas de gestão de capital humano vinculadas a personas de trabalhadores de TI da RPDC procurando emprego em empresas alemãs e portuguesas.
Trabalhadores de TI da Coreia do Norte também foram vinculados a muitos projetos no Reino Unido, variando de IA e tecnologia de blockchain a desenvolvimento web, bot e sistema de gestão de conteúdo (CMS).
Outro trabalhador de TI da RPDC visou múltiplas organizações europeias na base industrial de defesa e setores governamentais no final de 2024 usando referências e personas fabricadas para facilitar o engano de recrutadores de emprego para contratá-los.
"Estamos cada vez mais vendo trabalhadores de TI da Coreia do Norte infiltrando-se em grandes organizações para roubar dados sensíveis e prosseguir com suas ameaças de extorsão contra essas empresas", disse Michael Barnhart, Analista Principal da Mandiant no Google Cloud.
Também não é surpreendente vê-los expandindo suas operações para a Europa para replicar seu sucesso, já que é mais fácil envolver cidadãos que não estão familiarizados com seu ardil.
Em 12 de setembro de 2024, o Escritório de Implementação de Sanções Financeiras do Reino Unido emitiu um aviso sobre trabalhadores de TI da Coreia do Norte com informações sobre como potenciais alvos podem mitigar sua exposição a riscos e alertando que indivíduos e organizações que os contratam poderiam estar violando sanções financeiras.
O relatório do GTIG segue vários avisos emitidos pelo FBI sobre o enorme exército de trabalhadores de TI da Coreia do Norte enviados ao exterior para gerar receita, que enganou centenas de empresas nos Estados Unidos e mundialmente ao longo dos anos.
No entanto, o regime norte-coreano mantém até 90% dos salários coletados dessa maneira, gerando centenas de milhões todos os anos para financiar seus programas de armas.
Após serem descobertos e demitidos, alguns desses trabalhadores de TI norte-coreanos encobertos também usaram conhecimento interno para extorquir ex-empregadores, ameaçando vazar informações sensíveis roubadas dos sistemas da empresa.
Em janeiro, o Departamento de Justiça dos EUA indiciou dois cidadãos norte-coreanos e três facilitadores por seu envolvimento em um esquema fraudulento de trabalho remoto de TI de vários anos envolvendo pelo menos sessenta e quatro empresas dos EUA entre abril de 2018 e agosto de 2024.
O Escritório de Controle de Ativos Estrangeiros do Tesouro (OFAC) também sancionou empresas de fachada norte-coreanas vinculadas ao Ministério da Defesa Nacional da Coreia do Norte e acusadas de gerar receita por meio de esquemas ilegais de trabalho remoto de TI.
O Departamento de Estado dos EUA agora oferece milhões em troca de qualquer informação que possa ajudar a interromper suas atividades fraudulentas.
Nos últimos anos, agências governamentais da Coreia do Sul e do Japão também emitiram alertas sobre norte-coreanos se passando por pessoas de outros países para garantir emprego como trabalhadores remotos de TI em empresas privadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...