Um esquema audacioso de ciberataques liderado por hackers norte-coreanos tem causado prejuízos bilionários em criptomoedas e comprometido dados corporativos sensíveis. Esses criminosos cibernéticos, que se disfarçam como recrutadores, trabalhadores remotos e investidores de capital de risco, utilizam métodos sofisticados para enganar empresas e desviar recursos financeiros para o programa nuclear da Coreia do Norte, contornando sanções internacionais.
O alerta sobre a extensão desses ataques foi feito durante a conferência anual de segurança cibernética, Cyberwarcon, realizada em 29 de novembro. James Elliott, pesquisador de segurança da Microsoft, revelou que operativos norte-coreanos conseguiram se infiltrar em centenas de organizações ao redor do mundo. Por meio de identidades falsas criadas com ferramentas de inteligência artificial, os hackers não apenas roubam, mas também exploram brechas no trabalho remoto para aumentar sua eficácia.
Elliott destacou o impacto multifacetado desses agentes disfarçados, que representam o que chamou de “ameaça tripla”. Eles ganham renda legítima, extraem segredos corporativos e chantageiam empresas com a ameaça de expor informações roubadas.
Os métodos usados pelos hackers são variados e altamente adaptáveis. Grupos especializados, identificados pela Microsoft como “Ruby Sleet” e “Sapphire Sleet”, atacam setores específicos com estratégias personalizadas. O Ruby Sleet, por exemplo, foca em empresas aeroespaciais e de defesa, visando obter dados que possam fortalecer a tecnologia militar da Coreia do Norte.
Já o Sapphire Sleet utiliza perfis falsos de recrutadores e investidores para enganar suas vítimas. Nessas abordagens, as pessoas são induzidas a baixar softwares infectados, frequentemente disfarçados como ferramentas de avaliação ou programas de reunião virtual. Em uma dessas campanhas, os hackers conseguiram roubar US$ 10 milhões em criptomoedas ao longo de seis meses.
A mudança global para o trabalho remoto se tornou um terreno fértil para os hackers. Operativos norte-coreanos criam perfis incrivelmente convincentes, utilizando plataformas como LinkedIn e GitHub, além de deepfakes gerados por IA. Após serem contratados, eles redirecionam equipamentos fornecidos pelas empresas a facilitadores nos Estados Unidos, que montam fazendas de dispositivos preparados para acesso remoto. Essa operação permite que os hackers operem a partir de locais como Rússia e China, dificultando a rastreabilidade.
A Microsoft descobriu um repositório mal configurado pertencente a um desses agentes, contendo informações detalhadas sobre suas operações. “Era o manual completo”, afirmou Elliott, referindo-se a currículos falsos e dossiês de identidade usados para enganar empresas.
