Peritos da Cisco Talos revelaram que um grupo hacker da Coreia do Norte, identificado como “Famous Chollima”, tem direcionado ataques a candidatos de vagas no setor de criptomoedas na Índia. Segundo os pesquisadores, este grupo atua de forma independente, sem vínculos diretos com o já conhecido Lazarus Group.
O objetivo real dessas investidas ainda não está totalmente claro. Não se sabe se essas ações representam tentativas isoladas de roubo ou se fazem parte de uma preparação para ataques de maior escala no futuro. O fato é que profissionais que buscam vagas no mercado cripto precisam redobrar a atenção.
Apesar de o Lazarus da Coreia do Norte ser, até hoje, o nome mais temido quando se fala em crimes cibernéticos envolvendo criptomoedas — responsável, inclusive, pelo maior roubo da história desse mercado —, ele não é o único grupo operando sob as ordens do regime norte-coreano. O envolvimento do país com crimes no universo DeFi e Web3 é bem mais amplo do que muitos imaginam.
O relatório da Cisco Talos chama atenção para uma atuação recente na Índia que traz uma estratégia diferente das tradicionais invasões diretas às empresas de criptoativos.
Relatórios apontam que o Famous Chollima já está ativo desde, no mínimo, meados de 2024. Inclusive, há registros de hackers norte-coreanos tentando acessar empresas de criptomoedas sediadas nos Estados Unidos, como a Kraken, utilizando currículos falsos para se candidatar a vagas disponíveis. No entanto, o modus operandi do Famous Chollima vai na direção oposta: eles atraem vítimas simulando processos seletivos.
Segundo a Cisco, as campanhas conduzidas pelo grupo incluem a criação de sites falsos que imitam plataformas de recrutamento de grandes empresas do setor de tecnologia e criptomoedas. Nessas páginas fraudulentas, são divulgadas vagas fictícias e, durante o suposto processo de seleção, os candidatos são induzidos a acessar uma etapa de “teste de habilidades”.
Nessa fase, as vítimas recebem instruções para copiar e executar comandos no terminal de seus computadores, sob o pretexto de instalar drivers necessários para seguir no processo seletivo. O problema: esses comandos, na verdade, instalam um malware.
A atuação do Famous Chollima não chega a ter o mesmo nível de sofisticação das campanhas do Lazarus. As simulações de processos seletivos não fazem uso dos elementos visuais e marcas originais das empresas que dizem representar. Além disso, as perguntas feitas nos supostos testes frequentemente não têm relação com as funções oferecidas, o que pode gerar desconfiança — embora nem todos percebam a tempo.
Após preencherem os formulários e participarem de entrevistas por vídeo, as vítimas recebem o pedido para rodar códigos no terminal. Eles acreditam que estão instalando drivers de vídeo, mas, na prática, estão liberando o acesso total dos criminosos aos seus sistemas.
O programa malicioso utilizado, identificado como PylangGhost, permite que os hackers da Coreia do Norte tomem o controle completo do computador infectado. Entre as funções do malware estão o roubo de senhas, dados armazenados no navegador e informações de carteiras de criptomoedas. O ataque mira especificamente mais de 80 extensões populares, incluindo MetaMask, Phantom e 1Password.
