Coreia Do Norte

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Recentemente, atores de ameaças associados à Coreia do Norte têm utilizado iscas do tipo ClickFix para disseminar malwares conhecidos como BeaverTail e InvisibleFerret. Essa nova abordagem visa principalmente profissionais de marketing e traders em organizações de criptomoedas e varejo, ao invés de focar em desenvolvedores de software, como era comum anteriormente. O malware BeaverTail, que atua como um ladrão de informações e downloader de um backdoor em Python, foi inicialmente exposto em 2023 e faz parte de uma campanha mais ampla chamada ‘Contagious Interview’.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing atribuída ao grupo ScarCruft, vinculado à Coreia do Norte, com o objetivo de disseminar o malware RokRAT. Codificada como Operação HanKook Phantom, a campanha visa indivíduos associados à National Intelligence Research Association, incluindo acadêmicos e ex-oficiais do governo sul-coreano. Os ataques começam com um e-mail de spear-phishing que contém um anexo ZIP disfarçado de documento PDF, que, ao ser aberto, não só exibe um boletim informativo como também instala o RokRAT no sistema da vítima. Este malware é capaz de coletar informações do sistema, executar comandos arbitrários e capturar telas, além de exfiltrar dados através de serviços de nuvem como Dropbox e Google Cloud. Uma segunda fase da campanha utiliza um arquivo LNK para executar um script PowerShell, que também instala um documento Word falso e um script em lote ofuscado. A análise revela que o ScarCruft continua a empregar táticas de phishing altamente personalizadas, visando setores governamentais e acadêmicos da Coreia do Sul para espionagem e coleta de inteligência.

Profissionais de TI da Coreia do Norte estão utilizando plataformas globais de compartilhamento de código, como GitHub e Freelancer, para conseguir empregos remotos. Investigações revelaram a existência de pelo menos cinquenta perfis ativos no GitHub, com contribuições em tecnologias como React JS e Node JS. Esses trabalhadores adotam estratégias sofisticadas para ocultar suas identidades, utilizando identidades falsas e imagens geradas por IA. Além disso, eles participam ativamente de fóruns de desenvolvedores e mercados de freelancers, alinhando suas habilidades com as tendências globais de contratação. O impacto econômico dessas operações é significativo, com estimativas de que esses trabalhadores gerem entre 250 e 600 milhões de dólares anualmente, frequentemente direcionados para iniciativas estatais sancionadas. A interconexão com redes na Rússia e na China complica ainda mais a rastreabilidade dessas atividades. As autoridades de cibersegurança estão em alerta, dado o envolvimento de operativos norte-coreanos em crimes graves, incluindo lavagem de dinheiro e ataques cibernéticos de grande escala.

O Departamento do Tesouro dos EUA anunciou novas sanções contra dois indivíduos e duas entidades ligadas ao esquema de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que visa gerar receitas ilícitas para programas de armas de destruição em massa. As sanções atingem Vitaliy Sergeyevich Andreyev, Kim Ung Sun, a Shenyang Geumpungri Network Technology Co., Ltd e a Korea Sinjin Trading Corporation. O esquema, que já é monitorado há anos, envolve a infiltração de trabalhadores de TI norte-coreanos em empresas legítimas nos EUA, utilizando documentos fraudulentos e identidades roubadas. Além disso, a operação tem se apoiado em ferramentas de inteligência artificial para criar perfis profissionais convincentes e realizar trabalhos técnicos. O Departamento do Tesouro destacou que Andreyev facilitou transferências financeiras significativas para a Chinyong Information Technology Cooperation Company, que já havia sido sancionada anteriormente. O uso de IA por esses atores levanta preocupações sobre a segurança cibernética, especialmente para empresas que podem ser alvos de fraudes e extorsões. O impacto dessas atividades é significativo, com lucros estimados em mais de um milhão de dólares desde 2021.

Entre março e julho de 2025, atores de ameaças da Coreia do Norte realizaram uma campanha coordenada de espionagem cibernética, visando missões diplomáticas na Coreia do Sul. Os ataques foram realizados por meio de pelo menos 19 e-mails de spear-phishing que se faziam passar por contatos diplomáticos confiáveis, com o intuito de enganar funcionários de embaixadas e do ministério das relações exteriores. Os pesquisadores da Trellix identificaram que os atacantes utilizaram o GitHub como um canal de comando e controle, além de serviços de armazenamento em nuvem como Dropbox e Daum Cloud para distribuir um trojan de acesso remoto chamado Xeno RAT. Este malware permite que os atacantes assumam o controle dos sistemas comprometidos. Os e-mails, escritos em vários idiomas, incluíam assinaturas oficiais e referências a eventos reais, aumentando sua credibilidade. A análise sugere que a campanha pode ter ligações com operativos baseados na China, levantando a possibilidade de uma colaboração entre grupos de hackers. A situação é preocupante, especialmente considerando o aumento de atividades de espionagem cibernética e fraudes envolvendo trabalhadores de TI norte-coreanos em empresas ao redor do mundo.