Coreia Do Norte

O Departamento de Justiça dos EUA anunciou que cinco indivíduos se declararam culpados por ajudar a Coreia do Norte em esquemas de geração de receita ilícita, violando sanções internacionais. Os acusados, entre 24 e 34 anos, facilitaram fraudes envolvendo trabalhadores de tecnologia da informação (TI) que se apresentavam como cidadãos americanos para obter empregos em empresas dos EUA. Entre as ações fraudulentas, destacam-se a utilização de identidades falsas, a instalação de software de acesso remoto em laptops e a realização de testes de drogas em nome dos trabalhadores. Um dos réus, Oleksandr Didenko, também foi acusado de roubo de identidade e operou um site para vender identidades roubadas. O esquema resultou em mais de 2,2 milhões de dólares em receita para o regime norte-coreano e comprometeu a identidade de mais de 18 cidadãos americanos. Além disso, o DoJ está buscando confiscar mais de 15 milhões de dólares em criptomoedas relacionadas a atividades de hackers associados à Coreia do Norte, que realizaram diversos roubos em plataformas de moeda virtual. Essas ações refletem os esforços contínuos do governo dos EUA para combater as operações de TI e hacking da Coreia do Norte, que têm sido utilizadas para financiar seu programa nuclear.

O grupo de ameaças da Coreia do Norte, responsável pela campanha Contagious Interview, alterou suas táticas ao utilizar serviços de armazenamento JSON, como JSON Keeper e JSONsilo, para hospedar e entregar cargas maliciosas. Segundo pesquisadores da NVISO, a campanha envolve abordagens a alvos em redes profissionais, como o LinkedIn, sob o pretexto de avaliações de emprego ou colaborações em projetos. Os alvos são instruídos a baixar projetos de demonstração hospedados em plataformas como GitHub, onde arquivos maliciosos estão disfarçados. Um exemplo encontrado contém um valor codificado em Base64 que, na verdade, é um URL para um serviço JSON, onde a carga maliciosa é armazenada de forma ofuscada. O malware, denominado BeaverTail, coleta dados sensíveis e instala um backdoor em Python chamado InvisibleFerret. Além disso, a campanha também utiliza um payload adicional chamado TsunamiKit, que foi destacado pela ESET em setembro de 2025. Os pesquisadores alertam que a utilização de sites legítimos para a entrega de malware demonstra a intenção dos atacantes de operar de forma furtiva, visando comprometer desenvolvedores de software e exfiltrar informações sensíveis.

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

O grupo de ameaças Kimsuky, vinculado à Coreia do Norte, lançou um novo backdoor chamado HttpTroy, utilizando um ataque de spear-phishing direcionado a uma vítima na Coreia do Sul. O ataque foi revelado pela Gen Digital, que não especificou a data do incidente. O e-mail de phishing continha um arquivo ZIP disfarçado como uma fatura de VPN, que, ao ser aberto, ativava uma cadeia de execução de malware. Essa cadeia inclui um dropper, um loader chamado MemLoad e o backdoor HttpTroy.

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Um grupo de hackers da Coreia do Norte, associado à campanha Contagious Interview, está aprimorando suas ferramentas de malware, conforme revelado por novas investigações da Cisco Talos. As funcionalidades dos malwares BeaverTail e OtterCookie estão se aproximando, com o OtterCookie agora incorporando um módulo para keylogging e captura de telas. Essa atividade é parte de uma campanha de recrutamento fraudulenta que começou em 2022, onde os atacantes se passam por empresas para enganar candidatos a emprego e instalar malware que rouba informações. Recentemente, o grupo também começou a usar uma técnica chamada EtherHiding para buscar cargas úteis em blockchains como BNB Smart Chain e Ethereum, transformando essas infraestruturas descentralizadas em servidores de comando e controle. A campanha tem como alvo usuários que caem em ofertas de emprego falsas, levando à infecção de sistemas. Um exemplo recente envolve um aplicativo Node.js malicioso chamado Chessfi, que foi distribuído através do repositório Bitbucket. O malware evoluiu para incluir módulos que monitoram o clipboard e roubam dados de extensões de criptomoedas, aumentando o risco de roubo de informações sensíveis e acesso remoto. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados sensíveis.

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Recentemente, atores de ameaças associados à Coreia do Norte têm utilizado iscas do tipo ClickFix para disseminar malwares conhecidos como BeaverTail e InvisibleFerret. Essa nova abordagem visa principalmente profissionais de marketing e traders em organizações de criptomoedas e varejo, ao invés de focar em desenvolvedores de software, como era comum anteriormente. O malware BeaverTail, que atua como um ladrão de informações e downloader de um backdoor em Python, foi inicialmente exposto em 2023 e faz parte de uma campanha mais ampla chamada ‘Contagious Interview’.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing atribuída ao grupo ScarCruft, vinculado à Coreia do Norte, com o objetivo de disseminar o malware RokRAT. Codificada como Operação HanKook Phantom, a campanha visa indivíduos associados à National Intelligence Research Association, incluindo acadêmicos e ex-oficiais do governo sul-coreano. Os ataques começam com um e-mail de spear-phishing que contém um anexo ZIP disfarçado de documento PDF, que, ao ser aberto, não só exibe um boletim informativo como também instala o RokRAT no sistema da vítima. Este malware é capaz de coletar informações do sistema, executar comandos arbitrários e capturar telas, além de exfiltrar dados através de serviços de nuvem como Dropbox e Google Cloud. Uma segunda fase da campanha utiliza um arquivo LNK para executar um script PowerShell, que também instala um documento Word falso e um script em lote ofuscado. A análise revela que o ScarCruft continua a empregar táticas de phishing altamente personalizadas, visando setores governamentais e acadêmicos da Coreia do Sul para espionagem e coleta de inteligência.

Profissionais de TI da Coreia do Norte estão utilizando plataformas globais de compartilhamento de código, como GitHub e Freelancer, para conseguir empregos remotos. Investigações revelaram a existência de pelo menos cinquenta perfis ativos no GitHub, com contribuições em tecnologias como React JS e Node JS. Esses trabalhadores adotam estratégias sofisticadas para ocultar suas identidades, utilizando identidades falsas e imagens geradas por IA. Além disso, eles participam ativamente de fóruns de desenvolvedores e mercados de freelancers, alinhando suas habilidades com as tendências globais de contratação. O impacto econômico dessas operações é significativo, com estimativas de que esses trabalhadores gerem entre 250 e 600 milhões de dólares anualmente, frequentemente direcionados para iniciativas estatais sancionadas. A interconexão com redes na Rússia e na China complica ainda mais a rastreabilidade dessas atividades. As autoridades de cibersegurança estão em alerta, dado o envolvimento de operativos norte-coreanos em crimes graves, incluindo lavagem de dinheiro e ataques cibernéticos de grande escala.

O Departamento do Tesouro dos EUA anunciou novas sanções contra dois indivíduos e duas entidades ligadas ao esquema de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que visa gerar receitas ilícitas para programas de armas de destruição em massa. As sanções atingem Vitaliy Sergeyevich Andreyev, Kim Ung Sun, a Shenyang Geumpungri Network Technology Co., Ltd e a Korea Sinjin Trading Corporation. O esquema, que já é monitorado há anos, envolve a infiltração de trabalhadores de TI norte-coreanos em empresas legítimas nos EUA, utilizando documentos fraudulentos e identidades roubadas. Além disso, a operação tem se apoiado em ferramentas de inteligência artificial para criar perfis profissionais convincentes e realizar trabalhos técnicos. O Departamento do Tesouro destacou que Andreyev facilitou transferências financeiras significativas para a Chinyong Information Technology Cooperation Company, que já havia sido sancionada anteriormente. O uso de IA por esses atores levanta preocupações sobre a segurança cibernética, especialmente para empresas que podem ser alvos de fraudes e extorsões. O impacto dessas atividades é significativo, com lucros estimados em mais de um milhão de dólares desde 2021.

Entre março e julho de 2025, atores de ameaças da Coreia do Norte realizaram uma campanha coordenada de espionagem cibernética, visando missões diplomáticas na Coreia do Sul. Os ataques foram realizados por meio de pelo menos 19 e-mails de spear-phishing que se faziam passar por contatos diplomáticos confiáveis, com o intuito de enganar funcionários de embaixadas e do ministério das relações exteriores. Os pesquisadores da Trellix identificaram que os atacantes utilizaram o GitHub como um canal de comando e controle, além de serviços de armazenamento em nuvem como Dropbox e Daum Cloud para distribuir um trojan de acesso remoto chamado Xeno RAT. Este malware permite que os atacantes assumam o controle dos sistemas comprometidos. Os e-mails, escritos em vários idiomas, incluíam assinaturas oficiais e referências a eventos reais, aumentando sua credibilidade. A análise sugere que a campanha pode ter ligações com operativos baseados na China, levantando a possibilidade de uma colaboração entre grupos de hackers. A situação é preocupante, especialmente considerando o aumento de atividades de espionagem cibernética e fraudes envolvendo trabalhadores de TI norte-coreanos em empresas ao redor do mundo.