Como as Operações de hacking da Coreia do Norte mantêm mais de 30 identidades falsas em plataformas globais

Investigações recentes sobre dispositivos comprometidos de trabalhadores de TI norte-coreanos revelaram o plano operacional de uma equipe técnica sofisticada de cinco pessoas que gere uma extensa rede de personas fraudulentas online. As revelações, compartilhadas pelo renomado detective on-chain ZachXBT, oferecem uma visão sem precedentes de como esses atores infiltram sistematicamente projetos de desenvolvimento de criptomoedas e empresas tecnológicas globais.

A Infraestrutura por Trás do Fraude de Identidade em Massa

O modelo operacional da equipe baseia-se na compra de contas existentes e na implantação de ferramentas de acesso remoto. A sua estratégia de aquisição inclui comprar perfis no Upwork e LinkedIn, adquirir números de segurança social falsos (SSNs), e alugar números de telefone e equipamentos de computador. Uma vez equipados, utilizam o software de desktop remoto AnyDesk para realizar trabalhos de desenvolvimento terceirizados em várias plataformas simultaneamente.

Registos de despesas recuperados dos seus sistemas revelam uma cadeia de abastecimento sofisticada: processadores de pagamento em criptomoedas como Payoneer convertem ganhos em moeda fiduciária em ativos digitais, enquanto assinaturas de serviços de IA e serviços de VPN/proxy reverso mascaram a sua verdadeira localização geográfica e pegadas operacionais. Esta abordagem em camadas permite-lhes manter acesso persistente aos mercados laborais globais, apesar de tentativas repetidas de exposição.

Fluxos de Trabalho Operacionais e Desafios Internos

Documentos do Google Drive e perfis do navegador Chrome expuseram fluxos de trabalho internos que parecem surpreendentemente mundanos. Relatórios de desempenho semanais detalham tarefas atribuídas, alocações orçamentais e notas de resolução de problemas. Uma entrada capturou a frustração de um membro da equipa: “não entender os requisitos do trabalho e não saber o que fazer”, com a resposta do supervisor simplesmente afirmando “dedique-se e trabalhe mais”.

Horários detalhados mostram como identidades fictícias como “Henry Zhang” são implantadas em projetos com protocolos de reunião roteirizados. Esta regimentação sugere uma gestão centralizada, apesar da dispersão geográfica — uma vulnerabilidade crítica que acabou por levar à sua descoberta.

Trilhas Financeiras e Confirmação de Identidade

Um endereço de carteira chave (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c) ligado a um ataque de $680.000 no protocolo Favrr em junho de 2025 proporcionou o primeiro grande avanço. As vítimas do ataque, CTO e desenvolvedores comprometidos, foram posteriormente confirmadas como trabalhadores de TI norte-coreanos operando sob credenciais falsificadas. Este endereço tornou-se um identificador crítico que liga a equipe a múltiplos incidentes de infiltração na indústria.

Evidências linguísticas provaram-se igualmente condenatórias. Históricos de pesquisa revelaram uma dependência frequente do Google Translate, com traduções em coreano processadas através de endereços IP russos — um padrão de geoip reverso incompatível com as localizações alegadas dos trabalhadores.

Desafios Crescentes para a Defesa Empresarial

A investigação destaca vulnerabilidades sistêmicas na arquitetura de segurança atual:

Lacunas na Coordenação de Plataformas: Provedores de serviços e empresas privadas carecem de mecanismos formalizados de partilha de inteligência, permitindo que as mesmas identidades fraudulentas circulem por várias plataformas sem serem detectadas.

Práticas de Contratação Reativas: Empresas-alvo frequentemente tornam-se defensivas quando confrontadas com avisos de risco, priorizando a continuidade operacional em detrimento da cooperação em investigações de segurança.

Vantagem de Escala Numérica: Embora a sofisticação técnica individual permaneça moderada, o volume massivo de tentativas de infiltração — aproveitando um enorme pool de talentos — sobrecarrega os processos tradicionais de triagem.

Conversão de Pagamentos em Criptomoedas: A facilidade de converter rendimentos fiduciários em ativos digitais através de plataformas acessíveis elimina as fricções bancárias tradicionais que, historicamente, capturaram operativos estrangeiros.

Estas vulnerabilidades operacionais persistem não devido a uma técnica sofisticada, mas porque a deteção exige uma colaboração proativa entre plataformas, que atualmente não existe em escala nas indústrias de criptomoedas e tecnologia.