Uma pequena equipe de trabalhadores de TI da Coreia do Norte — ligada ao hack de US$ 680 mil contra o marketplace de fan tokens Favrr em junho — vinha utilizando ferramentas do Google e até alugando computadores para se infiltrar em projetos de criptomoedas, segundo capturas de tela de um dos dispositivos dos operadores.

Em uma publicação no X feita na quarta-feira, o investigador cripto ZachXBT compartilhou uma rara visão interna da operação de um hacker norte-coreano. As informações vieram de “uma fonte não identificada” que conseguiu comprometer um dos dispositivos utilizados.

Os trabalhadores ligados ao regime norte-coreano já foram responsáveis por um exploit de US$ 1,4 bilhão contra a exchange cripto Bitbit em fevereiro, além de terem desviado milhões de dólares de protocolos cripto ao longo dos anos.

Os dados revelam que uma pequena equipe de seis trabalhadores de TI norte-coreanos compartilha pelo menos 31 identidades falsas, obtendo desde documentos de identidade e números de telefone até contas compradas no LinkedIn e UpWork, com o objetivo de disfarçar suas origens e conseguir empregos em projetos cripto.

Um dos membros teria feito entrevista para uma vaga de engenheiro full-stack na Polygon Labs, enquanto outras evidências mostram respostas ensaiadas em entrevistas, nas quais afirmavam ter experiência na OpenSea e na Chainlink.

Lista falsa de identidades envolvidas na operação fraudulenta de TI da Coreia do Norte. Fonte: ZachXBT

Google e softwares de trabalho remoto

Os documentos vazados mostram que os trabalhadores norte-coreanos conseguiram cargos como “desenvolvedor blockchain” e “engenheiro de smart contracts” em plataformas de freelancers como a UpWork, e então usavam softwares de acesso remoto como o AnyDesk para realizar os trabalhos para empregadores desavisados. Eles também utilizavam VPNs para ocultar sua localização.

Exportações do Google Drive e perfis do Chrome mostraram que eles usavam ferramentas da Google para gerenciar agendas, tarefas e orçamentos, se comunicando em inglês com o auxílio do tradutor do Google do coreano para o inglês.

Uma planilha revelou que os trabalhadores de TI gastaram um total de US$ 1.489,80 em despesas operacionais somente em maio.

IAnotações/preparação para entrevista, provavelmente destinadas a serem consultadas durante uma entrevista. Fonte: ZachXBT

Hack de US$ 680 mil ligado à equipe norte-coreana

Os norte-coreanos frequentemente usam o Payoneer para converter moeda fiduciária em cripto como forma de pagamento por seus serviços. Um dos endereços de carteira — “0x78e1a” — está “estreitamente ligado” ao exploit de US$ 680 mil contra o marketplace Favrr, ocorrido em junho de 2025, segundo ZachXBT.

Na época, ZachXBT alegou que o diretor de tecnologia do projeto, conhecido como “Alex Hong”, e outros desenvolvedores eram na verdade trabalhadores norte-coreanos disfarçados.

Fonte: ZachXBT

As evidências também revelaram áreas de interesse da equipe. Uma das buscas feitas por eles questionava se tokens ERC-20 poderiam ser implantados na rede Solana, enquanto outra buscava informações sobre as principais empresas de desenvolvimento de IA na Europa.

Empresas cripto precisam reforçar verificação de antecedentes

ZachXBT fez um apelo para que empresas de tecnologia e cripto façam mais verificações de antecedentes em candidatos, observando que muitas dessas operações não são sofisticadas, mas o grande volume de aplicações acaba levando recrutadores a negligenciar análises mais profundas.

Ele acrescentou que a falta de colaboração entre empresas de tecnologia e plataformas de freelancers contribui para o problema.

No mês passado, o Departamento do Tesouro dos EUA tomou a iniciativa de sancionar duas pessoas e quatro entidades envolvidas em uma rede de trabalhadores de TI operada pela Coreia do Norte que infiltrava empresas de criptomoedas.