Trabalhadores de tecnologia fraudulentos com ligações com a Coreia do Norte estão expandindo suas operações de infiltração para empresas de blockchain fora dos EUA, após um aumento na vigilância das autoridades. Alguns deles conseguiram se infiltrar em projetos de criptomoedas no Reino Unido, segundo o Google.

O consultor do Google Threat Intelligence Group (GTIG), Jamie Collier, afirmou em um relatório de 2 de abril que, embora os EUA ainda sejam um alvo importante, a maior conscientização e os desafios de verificação do direito ao trabalho obrigaram os trabalhadores norte-coreanos de TI a buscar funções em empresas fora dos EUA.

“Em resposta à maior conscientização sobre a ameaça nos Estados Unidos, eles estabeleceram um ecossistema global de personas fraudulentas para aumentar a agilidade operacional”, disse Collier.

“Combinado com a descoberta de facilitadores no Reino Unido, isso sugere a formação rápida de uma infraestrutura global e uma rede de suporte que permite a continuidade de suas operações”, acrescentou.

O Google Threat Intelligence Group afirma que os trabalhadores de tecnologia da Coreia do Norte expandiram seu alcance em meio à repressão dos EUA. Fonte: Google

Os trabalhadores ligados à Coreia do Norte estão infiltrando projetos abrangendo o desenvolvimento tradicional da web e aplicações avançadas de blockchain, como projetos envolvendo Solana e o desenvolvimento de contratos inteligentes da Anchor, segundo Collier.

Outro projeto, que está construindo um marketplace de empregos baseado em blockchain e um aplicativo de inteligência artificial baseado em tecnologias blockchain, também foi identificado como tendo trabalhadores norte-coreanos.

“Esses indivíduos se fazem passar por trabalhadores remotos legítimos para se infiltrarem em empresas e gerar receita para o regime”, disse Collier.

“Isso coloca as organizações que contratam trabalhadores de TI da RPDC [República Popular Democrática da Coreia] em risco de espionagem, roubo de dados e interrupção.”

Coreia do Norte busca empregos de tecnologia na Europa

Além do Reino Unido, Collier afirma que o GTIG identificou um foco notável na Europa, com um trabalhador utilizando pelo menos 12 personas em diversos países europeus, enquanto outros utilizavam currículos com graduações da Universidade de Belgrado, na Sérvia, e endereços na Eslováquia.

Investigações separadas do GTIG encontraram personas buscando emprego na Alemanha e em Portugal, credenciais de login para contas de usuários em sites de emprego europeus, instruções para navegação nesses sites e um intermediário especializado em passaportes falsos.

Ao mesmo tempo, desde o final de outubro, os trabalhadores norte-coreanos aumentaram o volume de tentativas de extorsão e passaram a visar organizações maiores, o que o GTIG especula ser resultado da pressão para manter suas fontes de receita em meio à repressão nos EUA.

“Nesses incidentes, trabalhadores de TI recentemente demitidos ameaçaram divulgar dados sensíveis de seus ex-empregadores ou fornecê-los a um concorrente. Esses dados incluíam informações proprietárias e código-fonte de projetos internos”, disse Collier.

Em janeiro, o Departamento de Justiça dos EUA indiciou dois cidadãos norte-coreanos por envolvimento em um esquema fraudulento de trabalho de TI que envolveu pelo menos 64 empresas nos EUA entre abril de 2018 e agosto de 2024.

O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA também sancionou empresas acusadas de serem frentes para a Coreia do Norte e de gerar receita por meio de esquemas de trabalho remoto em TI.

Fundadores de empresas cripto também relataram um aumento na atividade de hackers norte-coreanos, com pelo menos três fundadores relatando em 13 de março que frustraram tentativas de roubo de dados sensíveis por meio de chamadas falsas no Zoom.

Em agosto, o investigador de blockchain ZachXBT afirmou ter descoberto uma sofisticada rede de desenvolvedores norte-coreanos ganhando US$ 500.000 por mês trabalhando para projetos cripto “estabelecidos”.