Haglund acabou encerrando a entrevista, mas outros não. Um gerente de produto de uma empresa de criptomoedas dos EUA, que falou sob condição de anonimato por não querer ser identificado como candidato a emprego, disse que gravou o vídeo e o enviou a uma pessoa que alegou estar recrutando para a empresa de criptomoedas Ripple Labs.
Só naquela noite, quando percebeu que US$1.000 em ether e Solana haviam desaparecido da carteira digital que ele mantinha em seu computador, ele percebeu que havia sido enganado. Quando procurou o perfil do LinkedIn do suposto recrutador da Ripple, ele já havia desaparecido.
Em outro caso, o consultor Ben Humbert estava conversando via LinkedIn com Mirela Tafili, uma recrutadora que alegava atuar em nome da corretora de criptomoedas Kraken, sobre uma vaga de gerenciamento de projetos. Tafili pediu a Humbert que participasse de uma “breve entrevista virtual” e forneceu um link que, segundo Tafili, os ajudaria a “acelerar o processo” e levá-lo para a próxima etapa. Humbert disse que ficou desconfiado e encerrou a conversa.
A Ripple e a Bitwise não retornaram os pedidos de comentários. Em um comunicado, a Robinhood afirmou estar “ciente de uma campanha no início deste ano que tentou se passar por várias empresas de criptomoedas, incluindo a Robinhood” e que havia tomado medidas para desativar os domínios da web vinculados ao golpe.
O LinkedIn afirmou, em comunicado, que as contas falsas de recrutadores identificadas pela Reuters foram “anteriormente acionadas”. O Telegram afirmou que os golpes foram eliminados onde quer que fossem encontrados. As tentativas da Reuters de contatar os hackers não tiveram sucesso.
A SentinelOne e a Validin atribuem os roubos a uma operação norte-coreana anteriormente denominada “Contagious Interview” pela empresa de segurança cibernética Palo Alto Networks. Os pesquisadores que acompanham a campanha concluíram que os norte-coreanos estavam por trás dela com base em vários fatores, incluindo o uso de endereços de protocolo de internet e e-mails vinculados a atividades anteriores de hackers da Coreia do Norte.