Os operadores de TI da Coreia do Norte estão mudando de estratégia e recrutando freelancers para fornecer identidades de fachada para trabalhos remotos.
Os agentes entram em contato com candidatos a emprego no Upwork, Freelancer e GitHub antes de mover as conversas para o Telegram ou Discord, onde os orientam sobre como configurar softwares de acesso remoto e passar pelas verificações de identidade.
Em casos anteriores, profissionais norte-coreanos conseguiram empregos remotos usando identidades falsas. Segundo Heiner García, especialista em inteligência de ameaças cibernéticas da Telefónica e pesquisador de segurança em blockchain, os agentes agora estão evitando essas barreiras ao trabalhar por meio de usuários verificados que cedem acesso remoto aos seus computadores.
Os verdadeiros donos das identidades recebem apenas um quinto do pagamento, enquanto o restante dos fundos é redirecionado para os agentes por meio de criptomoedas ou até contas bancárias tradicionais. Ao se apoiarem em identidades reais e conexões locais de internet, os agentes conseguem contornar sistemas projetados para sinalizar geografias de alto risco e VPNs.
Dentro do manual de recrutamento em evolução dos profissionais de TI norte-coreanos
No início deste ano, García criou uma empresa de criptomoedas fictícia e, junto com o Cointelegraph, entrevistou um suspeito de ser um agente norte-coreano em busca de um cargo remoto na área de tecnologia. O candidato afirmou ser japonês, mas encerrou abruptamente a ligação quando foi solicitado a se apresentar em japonês.
García continuou a conversa por mensagens privadas. O suspeito pediu que ele comprasse um computador e fornecesse acesso remoto.
O pedido se alinhava a padrões que García encontraria posteriormente. As evidências ligadas a perfis suspeitos incluíam apresentações de integração, roteiros de recrutamento e documentos de identidade “reutilizados repetidamente”.
García disse ao Cointelegraph:
“Eles instalam AnyDesk ou Chrome Remote Desktop e trabalham a partir da máquina da vítima, de modo que a plataforma veja um IP doméstico.”
As pessoas que cedem seus computadores “são vítimas”, acrescentou. “Elas não têm consciência disso. Acham que estão participando de um acordo normal de subcontratação.”
De acordo com registros de conversas analisados por ele, os recrutados fazem perguntas básicas como “Como vamos ganhar dinheiro?” e não realizam nenhum trabalho técnico por conta própria. Eles verificam contas, instalam softwares de acesso remoto e mantêm o dispositivo online enquanto os agentes se candidatam a empregos, conversam com clientes e entregam trabalhos usando suas identidades.
Embora a maioria pareça ser “vítima” sem saber com quem está interagindo, alguns parecem saber exatamente o que estão fazendo.
Em agosto de 2024, o Departamento de Justiça dos Estados Unidos prendeu Matthew Isaac Knoot, de Nashville, por operar uma “fazenda de laptops” que permitia a profissionais de TI norte-coreanos se passarem por funcionários baseados nos EUA usando identidades roubadas.
Mais recentemente, no Arizona, Christina Marie Chapman foi condenada a mais de oito anos de prisão por hospedar uma operação semelhante que canalizou mais de US$ 17 milhões para a Coreia do Norte.
Um modelo de recrutamento baseado na vulnerabilidade
Os recrutados mais valiosos estão nos Estados Unidos, na Europa e em algumas partes da Ásia, onde contas verificadas garantem acesso a empregos corporativos de alto valor e a menos restrições geográficas. Mas García também observou documentos pertencentes a pessoas de regiões com instabilidade econômica, como Ucrânia e Sudeste Asiático.
“Eles miram pessoas de baixa renda. Eles miram pessoas vulneráveis”, disse García. “Cheguei até a vê-los tentando alcançar pessoas com deficiência.”
A Coreia do Norte tem passado anos infiltrando as indústrias de tecnologia e criptomoedas para gerar receita e conquistar presença corporativa no exterior. As Nações Unidas afirmaram que o trabalho de TI e o roubo de criptomoedas pela Coreia do Norte estariam financiando os programas de mísseis e armamentos do país.
García disse que a tática vai além das criptomoedas. Em um dos casos analisados, um profissional norte-coreano usou uma identidade americana roubada para se apresentar como um arquiteto de Illinois, fazendo propostas para projetos de construção no Upwork. O cliente recebeu o trabalho de desenho concluído.
Apesar do foco na lavagem de dinheiro relacionada a criptomoedas, a pesquisa de García constatou que canais financeiros tradicionais também estão sendo explorados. O mesmo modelo de proxy de identidade permite que agentes ilícitos recebam pagamentos bancários em nomes legítimos.
“Não é só com cripto”, disse García. “Eles fazem de tudo, arquitetura, design, suporte ao cliente, qualquer coisa a que consigam ter acesso.”
Por que as plataformas ainda têm dificuldade em identificar quem realmente está trabalhando
Mesmo com equipes de contratação mais atentas ao risco de agentes norte-coreanos conseguirem cargos remotos, a detecção normalmente ocorre apenas após comportamentos incomuns acionarem alertas. Quando uma conta é comprometida, os agentes mudam para uma nova identidade e continuam trabalhando.
Em um caso, depois que um perfil no Upwork foi suspenso por atividade excessiva, o agente instruiu o recrutado a pedir a um familiar que criasse a próxima conta, segundo registros de conversas analisados.
Essa rotatividade de identidades torna tanto a responsabilização quanto a atribuição difíceis. A pessoa cujo nome e documentação estão vinculados à conta geralmente é enganada, enquanto quem realmente executa o trabalho está em outro país e nunca é visto diretamente pelas plataformas de freelancers ou pelos clientes.
A força desse modelo está no fato de que tudo o que um sistema de conformidade consegue ver parece legítimo. A identidade é real e a conexão de internet é local. No papel, o profissional atende a todos os requisitos, mas quem está por trás do teclado é alguém completamente diferente.
García disse que o sinal de alerta mais claro é qualquer pedido para instalar ferramentas de acesso remoto ou permitir que alguém “trabalhe” a partir da sua conta verificada. Um processo de contratação legítimo não precisa ter controle sobre seu dispositivo nem sobre sua identidade.
