Uma investigação conjunta liderada por Mauro Eldritch, fundador da BCA LTD, em parceria com a iniciativa de threat intelligence NorthScan e a plataforma ANY.RUN, especializada em análise interativa de malware, revelou uma das estratégias de infiltração mais persistentes da Coreia do Norte: uma rede de profissionais de TI que trabalham remotamente, vinculados à divisão Famous Chollima do grupo Lazarus.
Pela primeira vez, os pesquisadores conseguiram acompanhar, em tempo real, as ações dos operadores — que acreditavam estar usando laptops de desenvolvedores reais.
Na verdade, esses equipamentos eram máquinas virtuais controladas pela equipe, configuradas em ambientes sandbox criados pela ANY.RUN, o que permitiu monitorar cada movimento sem alertar os invasores.
A abordagem começou pelo recrutamento.
Heiner García, da NorthScan, simulou ser um desenvolvedor americano e entrou em contato com um recrutador do grupo Lazarus, que usava os codinomes “Aaron” ou “Blaze”.
Como parte da estratégia Chollima, o recrutador buscava infiltrar trabalhadores norte-coreanos disfarçados em empresas ocidentais, principalmente dos setores financeiro, cripto, saúde e engenharia.
O processo seguia um padrão conhecido: roubo ou empréstimo de identidade, uso de ferramentas de IA para passar em entrevistas, trabalho remoto via laptop da vítima e repasse dos salários à Coreia do Norte.
Quando o recrutador solicitou acesso total — incluindo dados pessoais sensíveis e disponibilidade 24 horas do equipamento — a investigação avançou para a segunda fase.
Em vez de conceder acesso a um laptop real, Eldritch utilizou máquinas virtuais na sandbox da ANY.RUN, que simularam estações de trabalho completas, com histórico de uso, ferramentas de desenvolvimento e endereços IP residenciais nos EUA.
A equipe pôde, inclusive, provocar falhas e limitar a conexão, enquanto registrava toda a atividade dos operadores.
Durante as sessões monitoradas, ficou claro que o toolkit utilizado não tinha foco em malware, mas sim na tomada de controle de identidade e acesso remoto.
Assim que o perfil do Chrome sincronizava, os invasores usavam ferramentas automáticas de IA para preencher candidaturas e responder entrevistas (como Simplify Copilot, AiApply e Final Round AI), geradores de OTP baseados no navegador para burlar autenticações em duas etapas, Google Remote Desktop configurado via PowerShell para controle persistente, além de comandos rotineiros para reconhecimento do sistema.
Todas as conexões passavam pelo VPN Astrill, ligado a outras infraestruturas anteriores do grupo Lazarus.
Em um episódio, o operador chegou a deixar uma mensagem pedindo o upload de documentos de identidade e dados bancários, confirmando que o objetivo era o controle completo da identidade e do ambiente da vítima — sem o uso de malware.
Essa investigação serve como alerta para empresas e equipes de recrutamento.
Contratações remotas são um vetor silencioso, porém eficiente, para ameaças baseadas em roubo de identidade.
Atacantes começam mirando candidatos por meio de entrevistas fraudulentas, mas podem avançar para comprometer dados sensíveis, sistemas internos e contas administrativas, causando impacto direto nas operações.
Por isso, é fundamental promover a conscientização interna, criar canais seguros para reportar atividades suspeitas e reforçar os processos de verificação durante o recrutamento.
Essas medidas podem ser decisivas para evitar que uma tentativa de infiltração se transforme em uma grave violação de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...