Espiões norte-coreanos estão se infiltrando em empresas ao redor do mundo, se passando por candidatos legítimos em processos seletivos. Eles usam deepfakes para enganar entrevistas por vídeo, roubam identidades de desenvolvedores reais e contam com uma rede de cúmplices que recebem laptops corporativos e os conectam em “fazendas” para acesso remoto. O objetivo? Roubar dados sensíveis, enviar salários de volta para financiar o regime norte-coreano e obter acesso privilegiado a sistemas críticos de empresas ocidentais.
O relato do método de infiltração foi entregue pela empresa de cibersegurança ESET.
Desde 2017, mais de 300 companhias americanas — incluindo gigantes da Fortune 500 — foram vítimas desse esquema. O caso mais emblemático aconteceu em julho de 2024, quando a KnowBe4, ironicamente uma empresa de cibersegurança, contratou um “funcionário” que passou por quatro entrevistas em vídeo e todas as verificações de antecedentes. Dias depois, descobriram que ele estava transferindo arquivos suspeitos e tentando instalar softwares não autorizados. Era um espião.
A escala do problema
O FBI rastreia essa atividade desde abril de 2017. Quase oito anos de operações bem-sucedidas. Pesquisadores de segurança deram nomes diferentes para o mesmo fenômeno: a ESET chama de WageMole, o Google rastreia como UNC5267, a Microsoft conhece como Jasper Sleet. São nomenclaturas diferentes, mas todos estão falando da mesma coisa: norte-coreanos se passando por desenvolvedores, designers e profissionais de TI para conseguir empregos remotos em empresas ocidentais.
Os números impressionam. Segundo a Microsoft, mais de 300 empresas foram vitimizadas entre 2020 e 2022. Um indiciamento nos Estados Unidos revelou que dois norte-coreanos e três facilitadores conseguiram faturar mais de US$ 860 mil trabalhando em apenas 10 das 60 empresas onde conseguiram colocação.
E o problema está se expandindo geograficamente. Pesquisadores da ESET alertam que o foco recentemente se deslocou para a Europa. França, Polônia e Ucrânia estão vendo um aumento de casos. O Google emitiu um alerta específico para empresas do Reino Unido. A Microsoft teve que desativar 3.000 contas de email criadas especificamente para esse esquema. O que começou como um problema americano virou uma ameaça global.
O manual do espião
O esquema começa muito antes da entrevista. Primeiro, os operadores norte-coreanos precisam de identidades críveis. Eles têm duas opções: criar identidades sintéticas do zero ou roubar identidades reais de pessoas que vivem nos países-alvo.
Para roubar identidades reais, eles usam uma operação paralela que a ESET rastreia como DeceptiveDevelopment. O golpe funciona assim: criam anúncios de emprego falsos para desenvolvedores ocidentais. Quando os candidatos reais se interessam, os golpistas pedem que participem de um “desafio de código” ou uma “tarefa pré-entrevista”. O candidato baixa um projeto para resolver o problema técnico. Só que esse projeto contém código trojanizado — malware disfarçado de teste técnico.
Uma vez que o malware está rodando na máquina da vítima real, ele captura tudo: credenciais, histórico de navegação, perfis profissionais. Os norte-coreanos então usam essas informações para construir perfis falsos que parecem extremamente autênticos. Eles criam contas no LinkedIn, GitHub, Stack Overflow e outras plataformas onde desenvolvedores costumam estar. Preenchem os perfis com projetos de código, contribuições open-source e um histórico que, à primeira vista, parece legítimo.
Deepfakes: CGI de Hollywood nas mãos erradas
Com a identidade pronta, vem a parte high-tech do esquema: enganar as entrevistas em vídeo. E é aqui que a tecnologia de deepfake entra em jogo.
Deepfake não é mais aquele vídeo mal feito que você via no YouTube cinco anos atrás. A tecnologia evoluiu. Os norte-coreanos usam software de troca de rostos e alteração de voz para criar personas completamente falsas ou para se passar por pessoas reais cujas identidades roubaram.
Durante as entrevistas por vídeo, eles ativam esses filtros avançados. O recrutador do outro lado da chamada vê uma pessoa que não é quem está realmente na frente da câmera. O movimento dos lábios sincroniza com a fala. As expressões faciais respondem às perguntas. Tudo parece natural, mas nada é real.
O problema é que a maioria das empresas não está preparada para detectar deepfakes em tempo real. Os recrutadores são treinados para avaliar competências técnicas e fit cultural, não para identificar manipulação de vídeo em nível cinematográfico. E os golpistas sabem disso.
Laptop farms: a engenharia por trás do disfarce
Digamos que o falso candidato passou pelas entrevistas e foi contratado. A empresa envia um laptop corporativo para o endereço fornecido. É aqui que entra a segunda camada do esquema: os facilitadores.
Facilitadores são pessoas que vivem nos países-alvo — Estados Unidos, Reino Unido, França — e que colaboram conscientemente com os operadores norte-coreanos. Eles fornecem infraestrutura local que torna o golpe possível. Criam contas bancárias, compram chips de celular, validam identidades em serviços de background check, e o mais importante: recebem os laptops corporativos.
Quando o laptop chega, o facilitador não o entrega ao “funcionário”. Em vez disso, ele leva o equipamento para o que os pesquisadores chamam de laptop farm: uma fazenda de laptops. Imagine uma sala ou um apartamento com dezenas de laptops corporativos, todos ligados, todos conectados à internet.
Do outro lado do mundo, na Coreia do Norte, os operadores reais acessam essas máquinas remotamente. Eles usam três tecnologias principais para esconder sua localização verdadeira:
- VPN (Virtual Private Network): funciona como um túnel secreto na internet. Quando você usa VPN, seu tráfego passa por um servidor intermediário antes de chegar ao destino final. Para a empresa, parece que o funcionário está conectando de Los Angeles ou Londres, quando na verdade está em Pyongyang.
- Proxy: similar à VPN, mas funciona em nível de aplicação. É outra camada de ofuscação que dificulta rastrear a origem real da conexão.
- RMM (Remote Monitoring and Management): software legítimo usado por equipes de TI para gerenciar computadores à distância. Os golpistas baixam RMM assim que recebem acesso ao laptop. Com isso, podem controlar completamente a máquina como se estivessem fisicamente na frente dela.
É como pilotar um drone, mas o drone é um MacBook Pro da empresa. O operador norte-coreano vê a tela, controla o mouse, digita no teclado, tudo remotamente. Para os colegas de trabalho e para os sistemas de monitoramento da empresa, aquele laptop está operando normalmente em território americano ou europeu. A fraude é praticamente invisível.
Por que eles fazem isso
A operação tem duas motivações principais, e ambas são igualmente preocupantes para as empresas vitimizadas.
A primeira é financeira e direta: os salários pagos pelas empresas ocidentais vão direto para a Coreia do Norte. Esse dinheiro ajuda a financiar o regime, incluindo seus programas de armamentos nucleares e de mísseis balísticos. Quando uma empresa americana paga US$ 8 mil por mês para um “desenvolvedor remoto”, uma porção significativa desse valor acaba nas mãos do governo norte-coreano. As empresas, sem saber, se tornam fontes de financiamento para um país sob pesadas sanções internacionais.
A segunda motivação é espionagem. Uma vez dentro da empresa, esses operadores têm acesso privilegiado a sistemas críticos. Eles podem roubar propriedade intelectual, código-fonte proprietário, dados de clientes, estratégias de negócio. Em alguns casos, podem instalar backdoors — portas dos fundos — que permitem acesso futuro mesmo depois que o “funcionário” for descoberto e demitido.
O risco de ransomware também é real. Com acesso interno, um operador malicioso pode criptografar sistemas inteiros e exigir resgate. Ou simplesmente vender o acesso a outros grupos criminosos que farão isso.
Para as empresas, as consequências vão além do dano financeiro imediato. Há exposição legal por violar sanções internacionais, ainda que inadvertidamente. Há dano reputacional quando a história vaza para a imprensa. E há o custo incalculável de perder a confiança de clientes e parceiros.
Monitoramento pós-contratação: a vigilância continua
Passar pelo processo seletivo não significa que os riscos desaparecem. Na verdade, o período logo após a contratação é crítico. É quando os infiltrados costumam cometer erros que os expõem.
Um dos sinais mais claros é o download imediato de software RMM no laptop recém-recebido. Funcionários legítimos normalmente levam dias ou semanas para instalar todas as ferramentas que precisam. Um infiltrado precisa do RMM funcionando imediatamente para que o operador remoto possa assumir o controle. Se um novo contratado instala software de acesso remoto nas primeiras horas ou dias, investigue.
Outro padrão comum: trabalho realizado em horários estranhos. Se o funcionário está supostamente em Los Angeles, mas consistentemente faz commits de código às 3h da manhã (horário que coincide com horário comercial na Ásia), é uma bandeira vermelha. Claro, desenvolvedores costumam ter horários flexíveis, mas padrões consistentes de atividade fora do fuso horário alegado merecem atenção.
Autenticações vindas de localizações suspeitas são outro giveaway. Se o sistema de VPN ou firewall detecta logins vindos de endereços IP chineses ou russos, investigue imediatamente. Os operadores às vezes cometem erros de configuração que expõem sua localização real.
Monitore transferências de arquivos incomuns: downloads em massa de repositórios de código, acesso a áreas do sistema que não são relevantes para o trabalho da pessoa, tentativas de copiar grandes volumes de dados para serviços externos. Ferramentas de insider threat podem ajudar a detectar esses padrões automaticamente, mas também é importante que gerentes e colegas de equipe estejam atentos a comportamentos estranhos.
A chave é contexto. Um desenvolvedor baixando um gerenciador de senhas não é suspeito. Mas um desenvolvedor front-end acessando bancos de dados de produção sem motivo aparente é. Um funcionário trabalhando tarde ocasionalmente é normal. Mas alguém que trabalha exclusivamente em horários que coincidem com outro continente merece investigação.
Para saber de mais casos como esse, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.