top of page

Como hackers Norte-Coreanos usam vagas de emprego remoto para espionagem e o risco de táticas semelhantes no Brasil

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 2 de jul.
  • 7 min de leitura

A nova fronteira da espionagem estatal e do crime cibernético não se limita mais apenas à criação de malwares ou à execução de campanhas de phishing. Hackers norte-coreanos estão adotando uma tática audaciosa e silenciosa: infiltrar-se em empresas de tecnologia e outras indústrias ao se passarem por trabalhadores de TI remotos qualificados.


Uma vez contratados, eles obtêm acesso privilegiado a sistemas internos, extraem dados valiosos e desviam lucros diretamente para o regime de Pyongyang, utilizando agora ferramentas de Inteligência Artificial para burlar verificações de identidade com uma sofisticação sem precedentes.


Investigações recentes conduzidas por autoridades dos Estados Unidos e pela Microsoft revelaram uma operação internacional coordenada e em larga escala. Um dos principais grupos hackers por trás dessas atividades é monitorado sob o nome "Jasper Sleet". Esses hackers se camuflam em plataformas de freelancers e se candidatam a vagas de TI, representando um risco grave para organizações que, sem saber, concedem a eles as chaves de seus reinos digitais.


O Esquema dos Trabalhadores de TI Remotos da Coreia do Norte


A Coreia do Norte opera uma rede mundial de profissionais de TI secretos que se apresentam como funcionários freelancers ou remotos. Esses indivíduos não se limitam a completar tarefas de desenvolvimento de software; sua verdadeira missão é infiltrar-se discretamente em empresas, extrair fundos e acessar informações sensíveis em nome do regime.

Desde pelo menos 2020, milhares de trabalhadores de TI norte-coreanos se candidataram a empregos em empresas de todo o mundo, com foco principal em organizações sediadas nos EUA e em países aliados. Eles utilizam identidades roubadas ou falsas para passar por verificações de antecedentes e construir confiança. Frequentemente, contam com a ajuda de facilitadores localizados nos Estados Unidos, China, Rússia, Emirados Árabes Unidos e Taiwan.


Entre 2020 e 2022, investigações descobriram que mais de 300 empresas norte-americanas haviam contratado, sem saber, trabalhadores norte-coreanos. Isso incluiu negócios em diversos setores, desde startups de tecnologia até renomadas empresas da Fortune 500. Em alguns casos, os trabalhadores também tentaram acessar informações restritas mantidas por agências do governo dos EUA, evidenciando a escala e a ambição da operação.


Uma vez contratados, os hackers assumem funções em engenharia de software, administração de sistemas ou suporte técnico. Essas posições permitem que eles acessem código-fonte, sistemas internos, ferramentas de desenvolvedor e, em alguns casos, carteiras de criptomoedas. Autoridades dos EUA confirmaram que pelo menos um trabalhador norte-coreano acessou dados técnicos controlados para exportação de uma empresa de defesa na Califórnia. A informação era protegida pelas regulamentações de controle de armas dos EUA e não deveria ser acessível a cidadãos estrangeiros.


Salários, bônus e equipamentos são frequentemente pagos e enviados sem levantar suspeitas. Grande parte da receita é posteriormente canalizada para o governo norte-coreano, fornecendo financiamento crucial para seus programas de armamento e cibernéticos sancionados. Este esquema é mais do que uma simples fraude; é uma estratégia de infiltração de longo prazo que explora o modelo de trabalho remoto mundial e transforma cargos de TI confiáveis em pontos de entrada ocultos para operações patrocinadas pelo Estado.


Como Eles Evitam a Detecção e Conseguem o Emprego?


Essas operações dependem de planejamento detalhado e sofisticação técnica:

  • Identidades Digitais Falsas: Utilizam documentos de identidade e números de seguridade social roubados ou alugados, além de fotos de perfil aprimoradas por IA.

  • Currículos Profissionais: Gerados ou aperfeiçoados com IA, com linguagem polida e experiência sob medida.

  • Presença em Redes Sociais: Perfis no LinkedIn, GitHub e Upwork sustentam a ilusão de legitimidade.

  • Engano em Entrevistas: Usam softwares de alteração de voz, respostas roteirizadas e, em alguns casos, pagam a moradores locais para participarem de entrevistas por vídeo em seu nome.

  • Mascaramento de Geolocalização: VPNs, serviços de proxy e ferramentas de monitoramento remoto ajudam a simular logins locais.


Alguns facilitadores baseados nos EUA hospedam "fazendas de laptops" — configurações onde o hardware fornecido pela empresa está fisicamente localizado nos EUA, mas é operado remotamente por trabalhadores norte-coreanos no exterior. Esse truque os ajuda a contornar as verificações de segurança baseadas em localização.


Ações das Autoridades Contra o Esquema


De acordo com o Departamento de Justiça dos EUA, este não é um incidente isolado. Agentes federais realizaram buscas recentemente em 21 suspeitas "fazendas de laptops" em 14 estados, apreenderam mais de 200 dispositivos e desativaram 29 contas financeiras e 21 sites fraudulentos ligados ao esquema.


A Microsoft, por sua vez, informou que suspendeu 3.000 contas falsas do Outlook e Hotmail ligadas a esses hackers e alertou os clientes impactados através do Microsoft Entra ID Protection e do Defender XDR.


Como a IA Está Potencializando as Fraudes?


Os trabalhadores de TI norte-coreanos não estão mais apenas falsificando currículos. Eles agora usam inteligência artificial para aperfeiçoar seu engano. Com a ajuda de ferramentas de IA, os invasores podem criar fotos de identificação no estilo deepfake, gerar currículos impecáveis e até modificar suas vozes para entrevistas.

A Inteligência de Ameaças da Microsoft observou múltiplos casos em que agentes norte-coreanos aprimoraram fotos de perfil usando ferramentas de troca de rosto para corresponder a documentos falsos. Essa automação permite que os hackers norte-coreanos escalem suas operações e reduzam os riscos de detecção.


O Que Esses Trabalhadores Realmente Acessam?


Uma vez contratados, os trabalhadores de TI norte-coreanos obtêm acesso confiável aos sistemas internos das empresas que os empregam. A partir daí, eles podem coletar informações discretamente, mover fundos e estabelecer acesso de longo prazo para abusos futuros, incluindo roubo de código-fonte, acesso a dados financeiros de clientes e instalação de backdoors para futuras operações.


Um Alerta para o Brasil: O Risco de Táticas Semelhantes em Território Nacional


Embora o foco desta investigação internacional esteja na Coreia do Norte, a estratégia de infiltração através do mercado de trabalho remoto representa um alerta crítico para o Brasil. Organizações criminosas locais, como o Primeiro Comando da Capital (PCC) e o Comando Vermelho (CV), que já demonstram crescente sofisticação em suas operações, podem facilmente adaptar táticas semelhantes para seus próprios fins.


Do Cangaço Físico ao "Novo Cangaço Digital": As facções já migraram da violência física para ataques lógicos sofisticados. O chamado "Novo Cangaço Digital" envolve a invasão de sistemas de empresas e prefeituras para sequestro de dados (ransomware) e desvio de fundos. Operações da Polícia Federal, como a "Operação BAAL", já desarticularam quadrilhas especializadas em ataques a instituições financeiras, provando que possuem o conhecimento técnico necessário para explorar as vulnerabilidades de sistemas corporativos, exatamente como um funcionário de TI faria.


Criação de Estruturas Corporativas Legítimas: O crime organizado brasileiro já demonstrou habilidade em se mascarar no mundo dos negócios. Investigações como a "Operação Hydra" do Ministério Público de São Paulo revelaram que o PCC chegou a criar e operar suas próprias fintechs. Esses "bancos" de fachada, com aparência totalmente legítima, foram usados para lavar bilhões de reais. Se as facções podem criar empresas de tecnologia financeira do zero, infiltrar seus membros em empresas já existentes é um passo lógico e estratégico.


Domínio da Engenharia Social e Cooptação de "Insiders": As facções são mestres no "Golpe da Falsa Central de Atendimento", onde criminosos se passam por funcionários de bancos com um nível de detalhe impressionante. Mais importante ainda, a cooptação de insiders — funcionários reais de bancos e empresas de telefonia que vendem informações privilegiadas — é uma prática comum. A transição de pagar um funcionário por dados para infiltrar um membro da facção com acesso total é a evolução natural dessa tática.


Infraestrutura para Lavagem de Ativos Digitais: Tanto o PCC quanto o CV já utilizam criptoativos em larga escala para lavagem de dinheiro e transações internacionais, garantindo que os lucros do crime sejam movimentados de forma rápida e anônima. Um estudo do Fórum Brasileiro de Segurança Pública já aponta os crimes cibernéticos como uma das principais fontes de renda dessas facções. Esse domínio tecnológico garante que qualquer valor desviado de uma empresa infiltrada possa ser rapidamente absorvido pela estrutura criminosa.


Esses grupos hackers, conhecidos por sua capacidade de diversificar suas atividades criminosas para além do tráfico de drogas, poderiam recrutar ou coagir especialistas em TI para se infiltrarem em alvos estratégicos. Imagine um "funcionário" de uma facção criminosa sendo contratado para trabalhar remotamente em um grande banco, com acesso direto a sistemas de transações financeiras e dados de clientes. Ou um invasor infiltrado em um órgão público, com capacidade para acessar e vazar informações sigilosas, manipular processos de licitação ou comprometer dados de segurança pública.


A vantagem para esses grupos seria imensa: roubo de fundos em larga escala, lavagem de dinheiro, extorsão de grandes corporações com ameaças de vazamento de dados, e acesso a informações privilegiadas para facilitar outras atividades criminosas. O modelo de trabalho remoto, se não for acompanhado de processos de verificação de identidade e monitoramento de segurança extremamente rigorosos, torna-se um vetor de ameaça que pode ser explorado tanto por estados-nação quanto pelo crime organizado doméstico.


Por Que Esta Ameaça Exige Atenção Urgente


Hackers não invadem sistemas apenas à força; eles também fazem login como qualquer funcionário — usando um nome, um currículo e uma chamada de vídeo. É isso que torna a ameaça tão perigosa. Seja motivada por espionagem estatal ou pelo crime organizado doméstico, a infiltração por meio de funcionários "legítimos" é uma das formas mais difíceis de detectar.


Muitas empresas nunca percebem que foram infiltradas até que o dano esteja feito. Os riscos vão além da perda de dados, abrangendo penalidades regulatórias, comprometimento da cadeia de suprimentos e danos irreparáveis à reputação.


Para se defender, as organizações no Brasil e no mundo precisam tratar isso como o que realmente é: um risco interno sofisticado. Passos básicos incluem:

  • Verificar identidades através de chamadas de vídeo ao vivo e gravar as sessões.

  • Confirmar pegadas digitais reais, como endereços físicos e números de telefone válidos.

  • Evitar a dependência exclusiva de detalhes de contato via VoIP.

  • Monitorar o comportamento de login, especialmente padrões de localização incomuns.

  • Avaliar cuidadosamente fornecedores de recrutamento e plataformas de freelancers.


Esta ameaça é persistente, bem financiada e evolui rapidamente. As organizações que dependem de talentos remotos devem permanecer vigilantes para não se tornarem um elo involuntário em uma campanha de espionagem ou uma fonte de receita para o crime organizado.


Via - SOCRadar

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page