O investigador de blockchain ZachXBT afirma ter descoberto evidências de uma rede sofisticada de desenvolvedores norte-coreanos que ganham até US$ 500.000 por mês trabalhando para projetos de criptomoedas "consolidados".
Em uma publicação no X em 15 de agosto, ZachXBT informou a seus 618.000 seguidores que acredita que uma “única entidade na Ásia”, provavelmente operando na Coreia do Norte, está recebendo de US$ 300.000 a US$ 500.000 por mês empregando pelo menos 21 trabalhadores em mais de 25 projetos de criptomoedas.
“Recentemente, uma equipe entrou em contato comigo pedindo ajuda após US$ 1,3 milhão serem roubados do tesouro depois que um código malicioso foi inserido,” disse ZachXBT.
“Sem que a equipe soubesse, eles haviam contratado vários trabalhadores de TI da Coreia do Norte como desenvolvedores que estavam usando identidades falsas.”
ZachXBT alega que os mais recentes US$ 1,3 milhão roubados por trabalhadores norte-coreanos foram lavados por meio de uma sequência de transações, incluindo a transferência para um endereço de roubo e terminando com 16,5 Ether (ETH) indo para duas exchanges diferentes.
Após uma investigação mais aprofundada sobre esses desenvolvedores, ZachXBT acredita que eles fazem parte de uma rede muito mais extensa.
Acompanhando vários endereços de pagamento, ele encontrou um grupo de desenvolvedores recebendo “US$ 375.000 no último mês” e transações anteriores totalizando US$ 5,5 milhões, que fluíram para um endereço de depósito de exchange de julho de 2023 até algum momento em 2024.
Esses pagamentos foram então vinculados a trabalhadores de TI na Coreia do Norte e a um indivíduo chamado Sim Hyon Sop — que foi sancionado pelo Escritório de Controle de Ativos Estrangeiros (OFAC) por supostamente coordenar transferências financeiras que eventualmente acabaram apoiando os programas de armas da Coreia do Norte.
ZachXBT diz que sua investigação descobriu que outros endereços de pagamento estavam intimamente ligados a outro indivíduo sancionado pelo OFAC, Sang Man Kim, que foi vinculado a crimes cibernéticos relacionados à Coreia do Norte no passado.
A aplicação da lei dos EUA acredita que Kim está “envolvido no pagamento de salários aos familiares das delegações de trabalhadores norte-coreanos da Chinyong no exterior” e que recebeu US$ 2 milhões em criptomoedas pela venda de equipamentos de TI para equipes afiliadas à Coreia do Norte na China e na Rússia.
ZachXBT também encontrou casos de sobreposição de IPs de Telecom russas entre desenvolvedores que alegavam estar baseados nos Estados Unidos e na Malásia. Pelo menos um dos trabalhadores “acidentalmente vazou suas outras identidades em um bloco de notas.”
Alguns dos desenvolvedores que ele encontrou foram até mesmo colocados por empresas de recrutamento e, em alguns casos, indicaram uns aos outros para trabalhos.
“Várias equipes experientes contrataram esses desenvolvedores, então não é justo culpá-las como as responsáveis,” disse ZachXBT.
“Pouco depois de postar, outro projeto descobriu que havia contratado um dos trabalhadores de TI norte-coreanos (Naoki Murano) listados na minha tabela e compartilhou minha postagem no chat deles. Imediatamente, dentro de dois minutos, Naoki saiu do chat e apagou seu GitHub.”
Organizações ligadas à República Popular Democrática da Coreia (RPDC) são consideradas responsáveis por mais de alguns ataques cibernéticos e outros golpes ao longo dos anos. O modus operandi de crimes cibernéticos geralmente envolve phishing, exploração de falhas de software, invasões cibernéticas, exploração de chaves privadas e infiltração presencial. Entende-se que alguns também trabalham nesses empregos para gerar um salário que é então enviado de volta ao país.
Em 2022, os Departamentos de Justiça, Estado e Tesouro dos EUA emitiram um aviso conjunto alertando sobre o aumento de trabalhadores norte-coreanos em vários empregos freelancers de tecnologia, especialmente criptomoedas.
Argumentavelmente, o grupo mais infame vinculado ao reino isolado, o Grupo Lazarus, supostamente roubou mais de US$ 3 bilhões em criptoativos nos seis anos até 2023.