Operadores cibernéticos da Coreia do Norte expandiram seu alcance além das empresas dos EUA e agora estão mirando startups de blockchain na União Europeia e no Reino Unido, se passando por desenvolvedores remotos e deixando um rastro de dados comprometidos e tentativas de extorsão. Um foco especial tem sido em projetos baseados em Solana.
Em um relatório divulgado na terça-feira (1º), o Grupo de Inteligência de Ameaças do Google (GTIG) revelou que trabalhadores de TI ligados à República Popular Democrática da Coreia (RPDC) ampliaram suas operações fora dos EUA, infiltrando-se em projetos de criptomoedas no Reino Unido, Alemanha, Portugal e Sérvia.
Projetos comprometidos incluem marketplaces de blockchain, aplicativos de IA para web e o desenvolvimento de contratos inteligentes em Solana e Anchor/Rust.
Um dos casos envolveu a criação de uma plataforma de hospedagem de tokens Nodexa usando Next.js e CosmosSDK. Outros incluíram um marketplace de empregos em blockchain desenvolvido com a stack MERN e Solana, além do desenvolvimento de ferramentas blockchain com IA utilizando Electron e Tailwind CSS.
“Em resposta ao aumento da conscientização sobre a ameaça dentro dos Estados Unidos, eles estabeleceram um ecossistema global de identidades falsas para aumentar a agilidade operacional”, disse Jamie Collier, consultor do GTIG, no relatório.
Alguns trabalhadores operavam com até 12 identidades falsas simultaneamente, utilizando diplomas da Universidade de Belgrado, documentos de residência falsos da Eslováquia e orientações para navegar por plataformas de emprego europeias, segundo o relatório.
Collier também afirmou que facilitadores localizados no Reino Unido e nos EUA ajudaram esses atores a burlar verificações de identidade e a receber pagamentos via TransferWise, Payoneer e criptomoedas, ocultando efetivamente a origem dos fundos que retornam ao regime norte-coreano.
Um porta-voz da Wise disse ao site Decrypt que “levamos a sério nossa responsabilidade de cumprir todas as leis de sanções aplicáveis”, acrescentando que a empresa realiza “inúmeras verificações de verificação”, utilizando “mais de 250 pontos de dados para monitorar transações na Wise a fim de detectar e identificar possíveis usos indevidos dos nossos serviços”. Ele explicou que “quando identificamos um possível crime financeiro ou qualquer outro uso indevido de nosso serviço, tomamos medidas imediatas para investigar o caso, incluindo suspensão ou congelamento de transações e contas de clientes”, e que a Wise relata violações às “agências autorizadas em todo o mundo”.
O GTIG relata que esses trabalhadores estão gerando receita para o regime norte-coreano, que já foi acusado por enviados dos EUA, Japão e Coreia do Sul de usar especialistas de TI no exterior — incluindo aqueles envolvidos em atividades cibernéticas maliciosas — para financiar seus programas de armas sancionados.
“Isso coloca as organizações que contratam trabalhadores de TI da RPDC em risco de espionagem, roubo de dados e interrupções”, alertou Collier.
Ameaças de extorsão
Desde outubro de 2024, o GTIG observou um aumento nas ameaças de extorsão, com desenvolvedores da Coreia do Norte demitidos começando a chantagear ex-empregadores com ameaças de vazar código-fonte e arquivos proprietários.
Esse aumento na agressividade, segundo o GTIG, coincide com “ações mais intensas das autoridades norte-americanas contra trabalhadores de TI da RPDC, incluindo operações de interrupção e denúncias criminais”.
Em dezembro do ano passado, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA sancionou dois cidadãos chineses por lavar ativos digitais para financiar o governo norte-coreano, utilizando uma empresa de fachada com sede nos Emirados Árabes Unidos, ligada ao regime de Pyongyang.
Depois, em janeiro, o Departamento de Justiça dos EUA indiciou dois cidadãos norte-coreanos por operarem um esquema fraudulento de trabalho em TI que infiltrou pelo menos 64 empresas americanas entre 2018 e 2024.
Além do Grupo Lazarus
Em março, o pesquisador de segurança da Paradigm, Samczsun, alertou que a estratégia cibernética da Coreia do Norte vai muito além do conhecido Grupo Lazarus, que já foi ligado a alguns dos maiores hacks de criptomoedas da história.
“Os hackers da RPDC são uma ameaça cada vez maior à nossa indústria”, escreveu Samczsun, destacando uma teia de subgrupos como o TraderTraitor e o AppleJeus, que se especializam em engenharia social, falsas ofertas de emprego e ataques à cadeia de suprimentos.
Em fevereiro, hackers ligados ao Lazarus roubaram US$ 1,4 bilhão da exchange de criptomoedas Bybit, com os fundos sendo depois lavados por mixers de moedas e DEXs.
Como a indústria de criptomoedas depende fortemente de talentos remotos e ambientes BYOD (traga seu próprio dispositivo), o GTIG alertou que muitas startups não têm ferramentas adequadas de monitoramento para detectar essas ameaças.
E isso, segundo Collier, é exatamente o objetivo — com a Coreia do Norte explorando “a rápida formação de uma infraestrutura global e rede de apoio que permite a continuidade de suas operações”.
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.