Pesquisadores de cibersegurança identificaram ligações de infraestrutura entre os atores de ameaças norte-coreanos responsáveis pelos esquemas fraudulentos com trabalhadores de TI e um golpe de crowdfunding (financiamento coletivo) em 2016.
As novas evidências sugerem que grupos baseados em Pyongyang possam ter realizado esquemas ilícitos de geração de dinheiro que antecedem o uso de trabalhadores de TI, disse a Unidade de Contramedida de Ameaças (Counter Threat Unit - CTU) da SecureWorks em um relatório compartilhado
O esquema de fraude com trabalhadores de TI, que veio à tona no final de 2023, envolve atores norte-coreanos se infiltrando em empresas no Ocidente e em outras partes do mundo, buscando secretamente emprego sob identidades falsas para gerar receita para a nação afetada por sanções.
Ele também é acompanhado sob os nomes Famous Chollima, Nickel Tapestry, UNC5267 e Wagemole.
Os trabalhadores de TI, conforme avaliado pelo Ministério das Relações Exteriores da Coreia do Sul (MoFA), foram considerados parte do 313º Gabinete Geral, uma organização sob o Departamento de Indústria de Munições do Partido dos Trabalhadores da Coreia.
Outro aspecto notável dessas operações é que os trabalhadores de TI são rotineiramente enviados à China e à Rússia para trabalhar em empresas de fachada como Yanbian Silverstar e Volasys Silver Star, ambas previamente sujeitas a sanções pelo Departamento do Tesouro dos EUA, Escritório de Controle de Ativos Estrangeiros (OFAC) em setembro de 2018.
Ambas as entidades foram acusadas de se envolver e facilitar a exportação de trabalhadores da Coreia do Norte com o objetivo de gerar receita para o Reino Eremita ou o Partido dos Trabalhadores da Coreia, enquanto ocultavam a verdadeira nacionalidade dos trabalhadores dos clientes.
Sanções também foram impostas contra Jong Song Hwa, CEO norte-coreano da Yanbian Silverstar, por seu papel no controle do "fluxo de ganhos para várias equipes de desenvolvedores na China e na Rússia."
Em outubro de 2023, o governo dos EUA anunciou a apreensão de 17 domínios da internet que se passavam por empresas de serviços de TI dos EUA para defraudar empresas no país e no exterior, permitindo que trabalhadores de TI norte-coreanos ocultassem suas verdadeiras identidades e localizações ao se candidatarem online para realizar trabalhos freelancer.
Entre os domínios que foram confiscados incluía um site chamado "silverstarchina[.]com".
A análise da SecureWorks de registros históricos WHOIS revelou que o endereço de rua do registrante corresponde à localização relatada dos escritórios da Yanbian Silverstar localizados na prefeitura de Yanbian e que o mesmo email e endereço de rua do registrante foram usados para registrar outros nomes de domínio.
Um desses domínios em questão é o kratosmemory[.]com, que foi usado anteriormente em conexão com uma campanha de crowdfunding no IndieGoGo em 2016, que depois se descobriu ser um golpe, uma vez que os apoiadores não receberam nem o produto nem o reembolso do vendedor.
A campanha teve 193 apoiadores e arrecadou fundos na ordem de $21,877.
"As pessoas que doaram para esta campanha não receberam nada do que foi prometido a elas," afirma um dos comentários na página do crowdfunding.
Elas também não receberam nenhuma atualização.
Isso foi um golpe completo.
A empresa de cibersegurança também observou que as informações do registrante WHOIS para kratosmemory[.]com foram atualizadas em meados de 2016 para refletir uma persona diferente chamada Dan Moulding, que corresponde ao perfil do usuário IndieGoGo para o golpe Kratos.
"Esta campanha de 2016 foi um esforço de baixo impacto, retorno monetário pequeno comparado aos esquemas mais elaborados com trabalhadores de TI norte-coreanos ativos até a data desta publicação", disse a SecureWorks.
No entanto, mostra um exemplo anterior de atores de ameaças norte-coreanos experimentando vários esquemas de ganho financeiro. O desenvolvimento surge enquanto Japão, Coreia do Sul e EUA emitiram um aviso conjunto para a indústria de tecnologia blockchain sobre o contínuo direcionamento de várias entidades no setor por atores cibernéticos da República Popular Democrática da Coreia (DPRK) para realizar roubos de criptomoedas.
Os ataques também incorporam um elemento de engenharia social que, tão recentemente quanto em setembro de 2024, levaram à implantação de famílias de malware como o TraderTraitor e o AppleJeus para possibilitar o roubo de criptomoedas, segundo os oficiais.
"Os grupos de ameaça persistente avançada afiliados à DPRK, incluindo o Grupo Lazarus, continuam demonstrando um padrão de comportamento malicioso no ciberespaço ao conduzir várias campanhas de cibercrime para roubar criptomoedas e mirar em exchanges, guardiões de ativos digitais e usuários individuais", disseram os governos.
Algumas das empresas miradas em 2024 incluíram a DMM Bitcoin, Upbit, Rain Management, WazirX e Radiant Capital, levando ao roubo de mais de $659 milhões em criptomoedas.
O anúncio marca a primeira confirmação oficial de que a Coreia do Norte estava por trás do hack da WazirX, a maior exchange de criptomoedas da Índia.
"Este é um momento crítico. Instamos a uma ação internacional rápida e suporte para recuperar os ativos roubados", postou Nischal Shetty, fundador da WazirX, no X.
"Fiquem certos, não pouparemos esforços em nossa busca por justiça."
No mês passado, a empresa de inteligência blockchain Chainalysis também revelou que atores de ameaças afiliados com a Coreia do Norte roubaram $1.34 bilhão através de 47 hacks de criptomoedas em 2024, de $660.50 milhões em 20 incidentes em 2023.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...