Trabalhadores de TI da Coreia do Norte estão usando perfis reais no LinkedIn para se candidatar a vagas remotas, em uma preocupante escalada de fraudes.
De acordo com a Security Alliance (SEAL), essas contas costumam ter e-mails corporativos verificados e crachás de identidade, o que torna as candidaturas fraudulentas mais convincentes.
Essa operação, conhecida há anos, envolve agentes norte-coreanos que se passam por trabalhadores remotos para conquistar empregos em empresas ocidentais, utilizando identidades roubadas ou falsas.
Na comunidade de cibersegurança, a ameaça é monitorada sob os codinomes Jasper Sleet, PurpleDelta e Wagemole.
O objetivo principal é duplo: gerar receita constante para financiar os programas armamentistas do regime e realizar espionagem, roubando dados sensíveis.
Em alguns casos, os agentes vão além e exigem resgates para evitar o vazamento de informações confidenciais.
Em outubro de 2025, a empresa Silent Push classificou o programa como uma “máquina de receita em grande volume” para o regime.
O esquema permite que os agentes obtenham acesso administrativo a bases de código sensíveis e estabeleçam persistência na infraestrutura corporativa.
Após receberem os salários, esses trabalhadores transferem criptomoedas utilizando diversas técnicas de lavagem de dinheiro, segundo relatório da Chainalysis.
Entre os métodos empregados estão “chain-hopping” e token swapping, que usam contratos inteligentes em exchanges descentralizadas e protocolos bridge para dificultar o rastreamento dos fundos.
Para se proteger, pessoas que suspeitam que suas identidades foram usadas em candidaturas fraudulentas devem alertar seus contatos nas redes sociais, informar seus canais oficiais e indicar métodos de verificação, como e-mail corporativo.
A Security Alliance reforça que validar o controle da conta no LinkedIn, por exemplo, ajuda a confirmar a autenticidade do candidato.
Recentemente, o Serviço de Segurança da Polícia da Noruega (PST) divulgou um alerta confirmando vários casos de empresas locais afetadas pelo esquema.
Segundo o PST, as vagas foram preenchidas por supostos trabalhadores norte-coreanos em home office, cujos salários provavelmente financiam os programas armamentistas do país.
Paralelamente, outra campanha de engenharia social, batizada Contagious Interview, usa entrevistas falsas para atrair vítimas via LinkedIn.
Após o contato, as pessoas são induzidas a realizar testes técnicos que acabam instalando malwares.
Um dos ataques imitava o processo seletivo da Fireblocks, empresa do setor de ativos digitais, e solicitava aos candidatos que clonassem repositórios no GitHub e executassem comandos maliciosos.
Pesquisadores identificaram que essa campanha também utiliza a técnica EtherHiding, que emprega contratos inteligentes em blockchain para hospedar a infraestrutura de comando e controle, dificultando a remoção do malware.
Nos últimos meses, variantes dessa campanha passaram a usar arquivos maliciosos do Microsoft VS Code que disfarçam códigos JavaScript como fontes web, culminando na implantação dos malwares BeaverTail e InvisibleFerret.
Esses softwares garantem acesso persistente e permitem o roubo de carteiras de criptomoedas e credenciais de navegadores, segundo relatórios das empresas Abstract Security e OpenSourceMalware.
Outra ameaça recente é a campanha envolvendo o Trojan Koalemos, uma variante modular escrita em JavaScript e distribuída via pacotes npm maliciosos.
Esse RAT (Remote Access Trojan) executa comandos, transfere arquivos e coleta informações do sistema, mantendo comunicação criptografada com servidores externos.
A pesquisadora Alessandra Rizzo destaca que o loader inicial valida datas e executa o RAT de forma oculta, possibilitando controle total sobre a máquina infectada.
Além disso, a CrowdStrike revelou que o grupo hacker norte-coreano Labyrinth Chollima se fragmentou em três subgrupos especializados: o núcleo Labyrinth Chollima, Golden Chollima (também conhecido como AppleJeus, Citrine Sleet e UNC4736) e Pressure Chollima (Jade Sleet, TraderTraitor e UNC4899).
Esses grupos continuam compartilhando ferramentas e infraestrutura, indicando coordenação centralizada.
Enquanto o Golden Chollima foca em furtos modestos e constantes de criptomoedas em regiões economicamente desenvolvidas, o Pressure Chollima investe em ataques sofisticados e de alto valor, visando organizações com grandes holdings digitais.
Já o Labyrinth Chollima concentra-se em espionagem cibernética, utilizando rootkits como o FudModule para garantir sigilo e entregar malwares destinados à coleta de inteligência.
A CrowdStrike reforça que as técnicas usadas por esses grupos incluem comprometimento da cadeia de suprimentos, campanhas de engenharia social voltadas a recursos humanos, softwares legítimos trojanizados e pacotes maliciosos em Node.js e Python.
Essa articulação demonstra o nível avançado da ciberameaça norte-coreana, que combina engenharia social e técnicas sofisticadas para infiltração e exfiltração de dados, além de financiar suas operações por meio de fraudes no mercado de trabalho remoto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...