Coreia Do Norte

Dois cidadãos americanos, Matthew Isaac Knoot e Erick Ntekereze Prince, foram condenados a 18 meses de prisão por operar ‘fazendas de laptops’ que ajudaram trabalhadores de TI da Coreia do Norte a obter empregos remotos fraudulentos em quase 70 empresas americanas. Knoot, que atuou de julho de 2022 a agosto de 2023, usou identidades roubadas para receber laptops de empresas e instalou softwares de acesso remoto, permitindo que os trabalhadores norte-coreanos se passassem por funcionários legítimos. As empresas afetadas pagaram mais de $250.000 a esses trabalhadores. Prince, por sua vez, facilitou a contratação de pelo menos três trabalhadores de TI da Coreia do Norte entre junho de 2020 e agosto de 2024, resultando em pagamentos superiores a $943.000, a maior parte dos quais foi enviada para o exterior. Além das penas de prisão, Knoot foi condenado a pagar $15.100 em restituição, enquanto Prince teve que devolver $89.000. O FBI alerta que a Coreia do Norte mantém uma grande força de trabalhadores de TI que utilizam roubo de identidade para se infiltrar em empresas americanas, representando uma ameaça crescente à segurança cibernética.

Um grupo de hackers da Coreia do Norte, conhecido como APT37 ou ScarCruft, comprometeu uma plataforma de jogos voltada para a comunidade coreana em Yanbian, na China, utilizando um malware chamado BirdCall. Este ataque, que começou em 2024, afeta tanto sistemas Windows quanto Android. No Windows, o malware permite roubo de dados, execução de comandos e captura de telas, enquanto no Android, ele pode extrair contatos, mensagens, arquivos de mídia e até áudio ambiente. A plataforma SQgame, que oferece jogos temáticos da região, continua hospedando jogos maliciosos, especialmente para dispositivos Android. O foco do ataque parece ser a população coreana na China, incluindo refugiados e desertores, o que levanta preocupações sobre a segurança de dados pessoais e a privacidade desses indivíduos. A ESET, empresa de segurança cibernética que reportou o incidente, observa que o malware está sendo ativamente mantido, com atualizações frequentes, o que indica um esforço contínuo dos atacantes para explorar essa vulnerabilidade.

O grupo de hackers ScarCruft, alinhado ao governo da Coreia do Norte, realizou um ataque de espionagem na cadeia de suprimentos, comprometendo uma plataforma de jogos voltada para coreanos étnicos na China. O ataque envolveu a inserção de um backdoor chamado BirdCall, que agora afeta tanto usuários de Windows quanto de Android, ampliando seu alcance. A plataforma sqgame[.]net, utilizada por coreanos na região de Yanbian, foi especificamente visada, dada a sua importância como ponto de trânsito para desertores norte-coreanos. O malware BirdCall é uma evolução do RokRAT e possui funcionalidades avançadas, como captura de tela, registro de teclas e roubo de dados pessoais. A distribuição do malware foi feita através de APKs maliciosos disponíveis para download na plataforma, enquanto o cliente para Windows e jogos iOS permaneceram intactos. A análise sugere que o ataque está em andamento desde o final de 2024 e que o backdoor foi desenvolvido para se comunicar com serviços de nuvem legítimos, como Dropbox e pCloud. Este incidente destaca a crescente ameaça de espionagem cibernética direcionada a grupos específicos, como desertores e ativistas de direitos humanos.

Pesquisadores de cibersegurança descobriram um código malicioso em um pacote npm chamado ‘@validate-sdk/v2’, que foi introduzido como dependência em um projeto do modelo de linguagem Claude Opus da Anthropic. Este pacote, que deveria funcionar como um kit de desenvolvimento de software para validação e geração aleatória segura, na verdade, tem a capacidade de roubar segredos sensíveis do ambiente comprometido. A campanha de malware, denominada PromptMink, está associada a um ator de ameaças da Coreia do Norte conhecido como Famous Chollima, que já esteve envolvido em outras campanhas fraudulentas. O ataque utiliza uma abordagem em camadas, onde pacotes de primeira camada não contêm código malicioso, mas importam pacotes de segunda camada que realmente executam as funções maliciosas. Isso permite que os atacantes acessem carteiras de criptomoedas dos usuários. Além disso, a campanha evoluiu para atingir o Python Package Index (PyPI) e utiliza técnicas de ofuscação e typosquatting para evitar a detecção. O uso de pacotes legítimos para comunicação de comando e controle também foi observado, aumentando a complexidade e a eficácia das operações maliciosas.

Dois cidadãos norte-americanos, Kejia Wang e Zhenxing Wang, foram condenados a penas de prisão por facilitar a contratação de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que se passavam por residentes dos EUA. Entre 2021 e outubro de 2024, eles geraram mais de 5 milhões de dólares em receita ilícita para o governo da Coreia do Norte, causando danos financeiros estimados em 3 milhões de dólares a mais de 100 empresas, incluindo várias da lista Fortune 500. Os Wang criaram contas financeiras, sites falsos e empresas de fachada para disfarçar a verdadeira origem dos trabalhadores norte-coreanos, que usavam identidades roubadas de mais de 80 cidadãos americanos. Zhenxing Wang também hospedou laptops fornecidos por empresas em residências nos EUA, permitindo que os trabalhadores norte-coreanos acessassem redes corporativas sem levantar suspeitas. As ações dos réus foram consideradas uma ameaça à segurança nacional dos EUA. Além deles, nove outros indivíduos estão foragidos, e o Departamento de Estado dos EUA oferece uma recompensa de até 5 milhões de dólares por informações que ajudem a interromper atividades ilícitas que apoiam o programa de armas de destruição em massa da Coreia do Norte.

Um grupo de hackers vinculado à Coreia do Norte comprometeu a biblioteca JavaScript Axios, uma das mais populares do mundo, inserindo um código malicioso que pode roubar dados de sistemas operacionais como Windows, macOS e Linux. O ataque ocorreu entre 00h21 e 03h20 UTC do dia 31 de março de 2026, e as versões contaminadas foram removidas rapidamente. O Google atribuiu a ação ao grupo UNC1069, que tem um histórico de roubo de criptomoedas. Os invasores conseguiram acesso à conta do mantenedor do pacote npm do Axios, publicando duas versões adulteradas que incluíam uma dependência maliciosa chamada “plain-crypto-js”, que atuava como um dropper, baixando e executando outras ameaças. O ataque foi precedido por semanas de engenharia social, onde os hackers criaram perfis falsos e um workspace no Slack para enganar o mantenedor. O impacto do ataque é significativo, considerando que o Axios é utilizado em cerca de 80% dos ambientes de nuvem e desenvolvimento, com milhões de downloads semanais.

Um ataque cibernético ocorrido em 1º de abril de 2026 resultou no roubo de US$ 285 milhões de uma exchange descentralizada baseada em Solana, revelando uma operação de engenharia social meticulosamente planejada pela Coreia do Norte. O grupo de hackers, conhecido como UNC4736, é associado a diversas campanhas de roubo no setor de criptomoedas desde 2018. A análise da Drift, a exchange atacada, indica que o ataque foi o resultado de meses de interação com colaboradores da empresa, onde os atacantes, disfarçados como uma empresa de trading, estabeleceram relações de confiança. Durante esse período, eles conseguiram integrar um Ecosystem Vault na plataforma, o que facilitou o acesso a ativos criptográficos. O ataque pode ter sido realizado através de dois vetores principais: a clonagem de um repositório de código malicioso e o download de um aplicativo de carteira comprometido. A investigação também destaca a evolução do ecossistema de malware da Coreia do Norte, que se tornou mais fragmentado e resistente a atribuições, dificultando a identificação de suas operações. Este incidente ressalta a necessidade de vigilância constante e medidas de segurança robustas no setor de fintech e criptomoedas.

Os mantenedores do popular cliente HTTP Axios relataram um ataque de engenharia social que comprometeu a conta de um desenvolvedor, resultando na publicação de versões maliciosas do Axios no registro de pacotes npm. Durante um período de aproximadamente três horas, duas versões (1.14.1 e 0.30.4) injetaram uma dependência chamada plain-crypto-js, que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux. O ataque foi atribuído ao grupo de hackers norte-coreano UNC1069, que utiliza táticas de engenharia social para enganar desenvolvedores. O principal alvo, Jason Saayman, foi induzido a instalar um malware disfarçado de atualização do Microsoft Teams após ser convidado para um espaço de trabalho Slack falso. Os mantenedores do Axios já tomaram medidas para mitigar o incidente, incluindo a redefinição de credenciais e a limpeza de sistemas afetados. Este ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, especialmente em projetos de código aberto amplamente utilizados.

O Google atribuiu formalmente a violação da cadeia de suprimentos do popular pacote Axios npm a um grupo de ameaças da Coreia do Norte, identificado como UNC1069. Este ataque, que visa roubar criptomoedas, ocorreu quando os invasores assumiram o controle da conta do mantenedor do pacote, permitindo a distribuição de versões trojanizadas que introduziram uma dependência maliciosa chamada ‘plain-crypto-js’. Essa dependência é utilizada para implantar um backdoor multiplataforma que afeta sistemas Windows, macOS e Linux. O ataque se destaca pela sua sofisticação, utilizando um hook de pós-instalação no arquivo ‘package.json’ para executar código malicioso de forma discreta. O backdoor, denominado WAVESHAPER.V2, é uma versão atualizada de um malware anterior e suporta comandos para executar scripts e coletar informações do sistema. Para mitigar os riscos, os usuários são aconselhados a auditar suas dependências, bloquear domínios de comando e controle e isolar sistemas afetados. Este incidente ressalta a necessidade de uma vigilância contínua sobre as dependências de software, especialmente em ambientes de desenvolvimento.

O Departamento do Tesouro dos EUA sancionou seis indivíduos e duas entidades por envolvimento em um esquema de trabalhadores de TI da Coreia do Norte (DPRK) que visa fraudar empresas americanas e gerar receita ilícita para o regime, financiando programas de armas de destruição em massa. O esquema, conhecido como Coral Sleet/Jasper Sleet, utiliza documentação falsa, identidades roubadas e personas fabricadas para disfarçar a origem dos trabalhadores de TI, que conseguem empregos legítimos nos EUA e em outros lugares. Parte dos salários é desviada para a Coreia do Norte, em violação a sanções internacionais. Além disso, o uso de malware para roubar informações sensíveis e extorquir empresas é uma prática comum. A operação se beneficia de serviços de VPN, como o Astrill, para ocultar a localização real dos operativos, que frequentemente atuam da China. A inteligência artificial é utilizada para criar identidades falsas e facilitar a infiltração em empresas, destacando a evolução das técnicas de engenharia social. O esquema é uma parte integral da máquina de geração de receita e evasão de sanções da DPRK, com implicações significativas para a segurança cibernética global.

Pesquisadores de cibersegurança revelaram uma nova fase da campanha Contagious Interview, atribuída a atores de ameaças da Coreia do Norte, que publicaram 26 pacotes maliciosos no registro npm. Esses pacotes se disfarçam como ferramentas de desenvolvimento, mas contêm funcionalidades para extrair URLs de comando e controle (C2) usando conteúdo aparentemente inofensivo do Pastebin. A infraestrutura C2 está hospedada na Vercel, com 31 implantações. Os pacotes incluem um script de instalação que executa um payload malicioso, que utiliza esteganografia para decodificar URLs C2 ocultas em ensaios de ciência da computação. O malware, uma combinação de um ladrão de credenciais e um trojan de acesso remoto, é projetado para operar em múltiplas plataformas, incluindo Windows, macOS e Linux. A campanha demonstra um esforço refinado para evitar detecções automatizadas e revisões humanas, utilizando técnicas de evasão sofisticadas. Os pesquisadores alertam que essa abordagem pode ter implicações significativas para desenvolvedores e empresas que utilizam o npm, especialmente no Brasil, onde tecnologias semelhantes são amplamente adotadas.

Oleksandr Didenko, um cidadão ucraniano de 29 anos, foi condenado a cinco anos de prisão nos Estados Unidos por seu papel em um esquema de fraude que facilitava a contratação de trabalhadores de tecnologia da informação (TI) da Coreia do Norte. Didenko admitiu ter conspirado para cometer fraude eletrônica e roubo de identidade agravado, ao roubar identidades de cidadãos americanos e vendê-las a trabalhadores de TI, permitindo que eles conseguissem empregos em 40 empresas dos EUA. Os salários recebidos eram enviados de volta ao regime norte-coreano para apoiar seus programas de armamento. Ele foi preso na Polônia em 2024 e extraditado para os EUA. Além da pena de prisão, Didenko deve cumprir 12 meses de liberdade supervisionada e pagar mais de 46 mil dólares em restituição. O esquema envolvia a operação de um site que oferecia identidades roubadas e a criação de ‘fazendas de laptops’ nos EUA, onde equipamentos eram hospedados para dar a impressão de que os trabalhadores estavam localizados no país. Apesar das ações das autoridades, a Coreia do Norte continua a usar novas táticas para infiltrar-se em empresas americanas, o que representa uma ameaça crescente à segurança cibernética.

Oleksandr Didenko, um cidadão ucraniano de 39 anos, foi condenado a cinco anos de prisão por fornecer identidades roubadas a trabalhadores de TI da Coreia do Norte, permitindo que eles se infiltrassem em empresas dos Estados Unidos. Didenko, que se declarou culpado em novembro de 2025, foi preso na Polônia em maio de 2024. Ele concordou em devolver mais de 1,4 milhão de dólares, incluindo dinheiro e criptomoedas. O FBI destacou que Didenko participou de um esquema que envolveu o roubo de identidades de centenas de cidadãos americanos, que foram usadas para garantir empregos fraudulentos em 40 empresas nos EUA. Ele forneceu pelo menos 871 identidades proxy e facilitou a operação de ’laptop farms’ em vários estados e até em outros países, permitindo que os trabalhadores norte-coreanos disfarçassem suas localizações. O FBI já havia alertado sobre a ameaça representada por esses atores, que utilizam identidades roubadas para garantir empregos em empresas americanas. A situação ressalta a necessidade de vigilância e proteção contra fraudes de identidade e ataques cibernéticos, especialmente em um cenário onde a Coreia do Norte mantém uma força de trabalho de TI bem organizada.

Uma nova variação da campanha de recrutamento falso, atribuída a atores de ameaça da Coreia do Norte, está focando em desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas. Desde maio de 2025, essa atividade se caracteriza pela modularidade, permitindo que os atacantes retomem rapidamente as operações após uma possível comprometimento. Os criminosos utilizam pacotes publicados nos repositórios npm e PyPi como downloaders para um trojan de acesso remoto (RAT). Pesquisadores identificaram 192 pacotes maliciosos, nomeados ‘Graphalgo’, que se disfarçam como ofertas de emprego em empresas fictícias do setor de blockchain e comércio de criptomoedas. Os desenvolvedores que se candidatam são induzidos a executar códigos que instalam dependências maliciosas em seus sistemas. Um exemplo notável é o pacote ‘bigmathutils’, que, após 10.000 downloads, introduziu cargas maliciosas em sua versão 1.1.0. A campanha é atribuída ao grupo Lazarus, com base em sua abordagem e no foco em criptomoedas, além de evidências de que os commits no GitHub seguem o fuso horário da Coreia do Norte. Os desenvolvedores que instalaram esses pacotes devem rotacionar tokens e senhas de conta e reinstalar seus sistemas operacionais.

Hackers da Coreia do Norte estão realizando campanhas direcionadas utilizando vídeos gerados por IA e a técnica ClickFix para distribuir malware em sistemas macOS e Windows, visando alvos no setor de criptomoedas. O objetivo financeiro das ações foi evidenciado em um ataque a uma empresa fintech, conforme investigado pela Mandiant, que identificou sete famílias distintas de malware para macOS atribuídas ao grupo UNC1069, ativo desde 2018.

O ataque começou com engenharia social, onde a vítima foi contatada via Telegram por uma conta comprometida de um executivo de uma empresa de criptomoedas. Após estabelecer um relacionamento, os hackers enviaram um link para uma reunião falsa no Zoom, onde apresentaram um vídeo deepfake de um CEO de outra empresa do setor. Durante a ‘reunião’, os hackers induziram a vítima a executar comandos que iniciaram a cadeia de infecção.

Recentemente, trabalhadores de TI associados à Coreia do Norte têm utilizado contas reais do LinkedIn de indivíduos que estão imitando para se candidatar a vagas remotas, representando uma escalada nas fraudes. Esses perfis frequentemente possuem e-mails de trabalho verificados e crachás de identidade, o que torna as aplicações fraudulentas mais convincentes. O objetivo é gerar receita para financiar programas de armamento e realizar espionagem ao roubar dados sensíveis. A empresa de cibersegurança Silent Push descreveu o programa de trabalhadores remotos da Coreia do Norte como uma ‘máquina de receita de alto volume’. Os trabalhadores transferem criptomoedas através de técnicas de lavagem de dinheiro, como a troca de tokens, para ocultar a origem dos fundos. Para se proteger, indivíduos que suspeitam de roubo de identidade devem alertar suas redes sociais e validar contas de candidatos. A Polícia de Segurança da Noruega também emitiu um alerta sobre casos em que empresas norueguesas foram enganadas a contratar esses trabalhadores. Além disso, uma campanha de engenharia social chamada ‘Contagious Interview’ tem sido usada para atrair alvos para entrevistas falsas, levando à execução de código malicioso. O cenário é alarmante, pois a Coreia do Norte continua a desenvolver suas capacidades cibernéticas e a explorar vulnerabilidades em empresas ocidentais.

Especialistas da Jamf Threat Labs identificaram uma nova campanha de hackers norte-coreanos, chamada Contagious Interview, que visa programadores através de ofertas de emprego atrativas. Os atacantes direcionam as vítimas a repositórios no GitHub, GitLab ou BitBucket, onde projetos maliciosos são apresentados. Ao abrir esses projetos no Microsoft Visual Studio Code (VS Code), os usuários ativam uma backdoor que permite acesso contínuo aos seus computadores. Essa técnica utiliza arquivos de configuração de tarefas do VS Code para executar códigos maliciosos, como os malwares BeaverTail e InvisibleFerret, sempre que um arquivo da pasta do projeto é aberto. Os hackers têm como alvo principal engenheiros de software que trabalham com criptomoedas e fintechs, buscando acesso a bens financeiros e carteiras digitais. A evolução rápida dos malwares e a utilização de métodos sofisticados de infecção tornam esses ataques ainda mais perigosos, dificultando a detecção por antivírus e outras medidas de segurança. A Jamf alerta que a confiança concedida ao autor do repositório facilita a execução do código malicioso, representando uma ameaça significativa para a segurança digital dos programadores.

Atuando sob a campanha Contagious Interview, hackers da Coreia do Norte têm explorado projetos maliciosos do Microsoft Visual Studio Code (VS Code) para implantar um backdoor em sistemas comprometidos. A técnica, descoberta em dezembro de 2025, envolve a instrução de alvos para clonarem repositórios no GitHub, GitLab ou Bitbucket e abrirem o projeto no VS Code como parte de uma avaliação de emprego. O ataque utiliza arquivos de configuração de tarefas do VS Code para executar cargas maliciosas hospedadas em domínios da Vercel, dependendo do sistema operacional da vítima. A configuração permite que comandos maliciosos sejam executados sempre que um arquivo do projeto é aberto. Além disso, os hackers têm disfarçado malware como dicionários de verificação ortográfica para evitar detecções. A comunicação com servidores remotos é estabelecida para facilitar a execução de código e coleta de informações do sistema. Os alvos preferenciais incluem engenheiros de software, especialmente aqueles nas áreas de criptomoeda e fintech, que possuem acesso privilegiado a ativos financeiros. A evolução das táticas dos atacantes reflete uma adaptação contínua para maximizar o sucesso em suas metas de ciberespionagem e financeiras, visando contornar sanções internacionais.

O FBI emitiu um alerta sobre uma nova campanha de phishing originada na Coreia do Norte, que utiliza QR Codes maliciosos para contornar sistemas de segurança de e-mails. Desde maio de 2025, grupos criminosos têm como alvo laboratórios de pesquisa, instituições acadêmicas e entidades governamentais em todo o mundo. O método principal envolve o envio de QR Codes comprometidos via e-mail, disfarçados como mensagens de remetentes confiáveis, como funcionários de embaixadas. Ao escanear o código, as vítimas são direcionadas a um ambiente controlado pelos hackers, que coletam informações sensíveis, como logins e localização. Além disso, esses códigos podem reproduzir tokens de sessão, burlando a autenticação multifator (MFA) e permitindo o sequestro de identidades na nuvem. Para se proteger, o FBI recomenda que as organizações eduquem seus funcionários sobre a verificação da origem dos QR Codes, implementem protocolos de denúncia de atividades suspeitas e utilizem ferramentas de segurança, como gerenciadores de senhas e anti-malware.

O Brasil se consolidou como um dos principais alvos globais de cibercrime, especialmente devido à sua relevância econômica e à rápida adoção de tecnologias financeiras, como fintechs e criptomoedas. Sandra Joyce, vice-presidente global de Inteligência de Ameaças do Google Cloud, destacou em entrevista que o país atrai a atenção de organizações criminosas, tornando-se um foco para ataques cibernéticos profissionais. A evolução das técnicas de ataque, impulsionada pela inteligência artificial, tem facilitado a criação de conteúdos falsos, como deepfakes e e-mails de phishing mais sofisticados. Além disso, a Coreia do Norte tem utilizado o cibercrime como uma forma de financiar seus programas de armas nucleares, infiltrando profissionais de TI em empresas ocidentais, incluindo no Brasil, através de identidades falsas. Para mitigar esses riscos, o Google implementou barreiras de segurança em seus sistemas e enfatiza a importância do pensamento crítico dos usuários. A situação exige uma atenção redobrada por parte das empresas e dos profissionais de segurança da informação no Brasil.

Um levantamento realizado pelo site Chainalysis revelou que hackers da Coreia do Norte foram responsáveis pelo roubo de R$ 11,21 bilhões em criptomoedas em 2025, o que representa cerca de 60% do total global de R$ 18,86 bilhões subtraídos neste ano. Desde o início dos registros de roubo de criptomoedas, o país já acumulou R$ 37,45 bilhões em ativos digitais roubados. O ataque mais significativo do ano ocorreu na plataforma ByBit, onde R$ 8,32 bilhões foram desviados, correspondendo a 75% do total roubado pela Coreia do Norte em 2025. Os hackers utilizam diversas táticas, incluindo a infiltração em empresas estrangeiras como profissionais de TI e a publicação de ofertas de emprego falsas para disseminar malwares. Apesar de uma queda no número total de ataques, os valores roubados por incidente aumentaram em 51%, indicando que os hackers estão se concentrando em alvos mais vulneráveis, como corretores e carteiras pessoais. A crescente sofisticação das técnicas de ataque e a adaptação às medidas de segurança implementadas nas plataformas de criptomoedas são preocupantes para o setor de cibersegurança.

Em 2025, grupos de hackers ligados à Coreia do Norte foram responsáveis por um aumento alarmante nos roubos de criptomoedas, totalizando pelo menos $2,02 bilhões de um total de $3,4 bilhões roubados globalmente. Esse valor representa um crescimento de 51% em relação ao ano anterior, com a Coreia do Norte respondendo por 76% de todas as violações de serviços. O ataque mais significativo ocorreu em fevereiro, quando a exchange de criptomoedas Bybit foi comprometida, resultando em um roubo de $1,5 bilhão. O grupo de hackers conhecido como Lazarus, vinculado ao governo norte-coreano, tem um histórico de ataques a exchanges e serviços de criptomoedas, visando gerar receita ilícita para o regime, em violação a sanções internacionais. Além disso, a infiltração de trabalhadores de TI em empresas globais tem sido uma estratégia crescente, permitindo acesso privilegiado a serviços de criptomoedas. Os fundos roubados são frequentemente lavados através de serviços de movimentação de dinheiro em chinês e misturadores, seguindo um caminho estruturado de lavagem em várias etapas. Este cenário representa um risco significativo para a segurança cibernética global e destaca a necessidade de vigilância e mitigação por parte das empresas de tecnologia e finanças.

A campanha Contagious Interview, atribuída a atores de ameaça da Coreia do Norte, continua a inundar o registro npm com pacotes maliciosos, totalizando 197 novos pacotes desde o mês passado. Esses pacotes, que já foram baixados mais de 31.000 vezes, têm como objetivo entregar uma variante do malware OtterCookie, que combina características de versões anteriores. Entre os pacotes identificados estão ‘bcryptjs-node’, ‘cross-sessions’ e ‘webpack-loadcss’. O malware, ao ser executado, tenta evitar ambientes de sandbox e máquinas virtuais, além de estabelecer um canal de comando e controle (C2) para permitir que os atacantes tenham acesso remoto ao sistema comprometido. As capacidades incluem roubo de credenciais, captura de telas e registro de teclas. A campanha também se destaca por utilizar sites falsos de avaliação que disfarçam a entrega de outro malware, o GolangGhost, sob a aparência de resolver problemas de câmera ou microfone. Essa abordagem inovadora visa comprometer indivíduos através de processos de recrutamento fraudulentos, tornando a aplicação para empregos uma arma. A análise revela que a URL de C2 é codificada e que a conta do GitHub utilizada para a entrega do malware não está mais acessível.

O Departamento de Justiça dos EUA anunciou que cinco indivíduos se declararam culpados por ajudar a Coreia do Norte em esquemas de geração de receita ilícita, violando sanções internacionais. Os acusados, entre 24 e 34 anos, facilitaram fraudes envolvendo trabalhadores de tecnologia da informação (TI) que se apresentavam como cidadãos americanos para obter empregos em empresas dos EUA. Entre as ações fraudulentas, destacam-se a utilização de identidades falsas, a instalação de software de acesso remoto em laptops e a realização de testes de drogas em nome dos trabalhadores. Um dos réus, Oleksandr Didenko, também foi acusado de roubo de identidade e operou um site para vender identidades roubadas. O esquema resultou em mais de 2,2 milhões de dólares em receita para o regime norte-coreano e comprometeu a identidade de mais de 18 cidadãos americanos. Além disso, o DoJ está buscando confiscar mais de 15 milhões de dólares em criptomoedas relacionadas a atividades de hackers associados à Coreia do Norte, que realizaram diversos roubos em plataformas de moeda virtual. Essas ações refletem os esforços contínuos do governo dos EUA para combater as operações de TI e hacking da Coreia do Norte, que têm sido utilizadas para financiar seu programa nuclear.

O grupo de ameaças da Coreia do Norte, responsável pela campanha Contagious Interview, alterou suas táticas ao utilizar serviços de armazenamento JSON, como JSON Keeper e JSONsilo, para hospedar e entregar cargas maliciosas. Segundo pesquisadores da NVISO, a campanha envolve abordagens a alvos em redes profissionais, como o LinkedIn, sob o pretexto de avaliações de emprego ou colaborações em projetos. Os alvos são instruídos a baixar projetos de demonstração hospedados em plataformas como GitHub, onde arquivos maliciosos estão disfarçados. Um exemplo encontrado contém um valor codificado em Base64 que, na verdade, é um URL para um serviço JSON, onde a carga maliciosa é armazenada de forma ofuscada. O malware, denominado BeaverTail, coleta dados sensíveis e instala um backdoor em Python chamado InvisibleFerret. Além disso, a campanha também utiliza um payload adicional chamado TsunamiKit, que foi destacado pela ESET em setembro de 2025. Os pesquisadores alertam que a utilização de sites legítimos para a entrega de malware demonstra a intenção dos atacantes de operar de forma furtiva, visando comprometer desenvolvedores de software e exfiltrar informações sensíveis.

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

O grupo de ameaças Kimsuky, vinculado à Coreia do Norte, lançou um novo backdoor chamado HttpTroy, utilizando um ataque de spear-phishing direcionado a uma vítima na Coreia do Sul. O ataque foi revelado pela Gen Digital, que não especificou a data do incidente. O e-mail de phishing continha um arquivo ZIP disfarçado como uma fatura de VPN, que, ao ser aberto, ativava uma cadeia de execução de malware. Essa cadeia inclui um dropper, um loader chamado MemLoad e o backdoor HttpTroy.

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Um grupo de hackers da Coreia do Norte, associado à campanha Contagious Interview, está aprimorando suas ferramentas de malware, conforme revelado por novas investigações da Cisco Talos. As funcionalidades dos malwares BeaverTail e OtterCookie estão se aproximando, com o OtterCookie agora incorporando um módulo para keylogging e captura de telas. Essa atividade é parte de uma campanha de recrutamento fraudulenta que começou em 2022, onde os atacantes se passam por empresas para enganar candidatos a emprego e instalar malware que rouba informações. Recentemente, o grupo também começou a usar uma técnica chamada EtherHiding para buscar cargas úteis em blockchains como BNB Smart Chain e Ethereum, transformando essas infraestruturas descentralizadas em servidores de comando e controle. A campanha tem como alvo usuários que caem em ofertas de emprego falsas, levando à infecção de sistemas. Um exemplo recente envolve um aplicativo Node.js malicioso chamado Chessfi, que foi distribuído através do repositório Bitbucket. O malware evoluiu para incluir módulos que monitoram o clipboard e roubam dados de extensões de criptomoedas, aumentando o risco de roubo de informações sensíveis e acesso remoto. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados sensíveis.

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Recentemente, atores de ameaças associados à Coreia do Norte têm utilizado iscas do tipo ClickFix para disseminar malwares conhecidos como BeaverTail e InvisibleFerret. Essa nova abordagem visa principalmente profissionais de marketing e traders em organizações de criptomoedas e varejo, ao invés de focar em desenvolvedores de software, como era comum anteriormente. O malware BeaverTail, que atua como um ladrão de informações e downloader de um backdoor em Python, foi inicialmente exposto em 2023 e faz parte de uma campanha mais ampla chamada ‘Contagious Interview’.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing atribuída ao grupo ScarCruft, vinculado à Coreia do Norte, com o objetivo de disseminar o malware RokRAT. Codificada como Operação HanKook Phantom, a campanha visa indivíduos associados à National Intelligence Research Association, incluindo acadêmicos e ex-oficiais do governo sul-coreano. Os ataques começam com um e-mail de spear-phishing que contém um anexo ZIP disfarçado de documento PDF, que, ao ser aberto, não só exibe um boletim informativo como também instala o RokRAT no sistema da vítima. Este malware é capaz de coletar informações do sistema, executar comandos arbitrários e capturar telas, além de exfiltrar dados através de serviços de nuvem como Dropbox e Google Cloud. Uma segunda fase da campanha utiliza um arquivo LNK para executar um script PowerShell, que também instala um documento Word falso e um script em lote ofuscado. A análise revela que o ScarCruft continua a empregar táticas de phishing altamente personalizadas, visando setores governamentais e acadêmicos da Coreia do Sul para espionagem e coleta de inteligência.

Profissionais de TI da Coreia do Norte estão utilizando plataformas globais de compartilhamento de código, como GitHub e Freelancer, para conseguir empregos remotos. Investigações revelaram a existência de pelo menos cinquenta perfis ativos no GitHub, com contribuições em tecnologias como React JS e Node JS. Esses trabalhadores adotam estratégias sofisticadas para ocultar suas identidades, utilizando identidades falsas e imagens geradas por IA. Além disso, eles participam ativamente de fóruns de desenvolvedores e mercados de freelancers, alinhando suas habilidades com as tendências globais de contratação. O impacto econômico dessas operações é significativo, com estimativas de que esses trabalhadores gerem entre 250 e 600 milhões de dólares anualmente, frequentemente direcionados para iniciativas estatais sancionadas. A interconexão com redes na Rússia e na China complica ainda mais a rastreabilidade dessas atividades. As autoridades de cibersegurança estão em alerta, dado o envolvimento de operativos norte-coreanos em crimes graves, incluindo lavagem de dinheiro e ataques cibernéticos de grande escala.

O Departamento do Tesouro dos EUA anunciou novas sanções contra dois indivíduos e duas entidades ligadas ao esquema de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que visa gerar receitas ilícitas para programas de armas de destruição em massa. As sanções atingem Vitaliy Sergeyevich Andreyev, Kim Ung Sun, a Shenyang Geumpungri Network Technology Co., Ltd e a Korea Sinjin Trading Corporation. O esquema, que já é monitorado há anos, envolve a infiltração de trabalhadores de TI norte-coreanos em empresas legítimas nos EUA, utilizando documentos fraudulentos e identidades roubadas. Além disso, a operação tem se apoiado em ferramentas de inteligência artificial para criar perfis profissionais convincentes e realizar trabalhos técnicos. O Departamento do Tesouro destacou que Andreyev facilitou transferências financeiras significativas para a Chinyong Information Technology Cooperation Company, que já havia sido sancionada anteriormente. O uso de IA por esses atores levanta preocupações sobre a segurança cibernética, especialmente para empresas que podem ser alvos de fraudes e extorsões. O impacto dessas atividades é significativo, com lucros estimados em mais de um milhão de dólares desde 2021.

Entre março e julho de 2025, atores de ameaças da Coreia do Norte realizaram uma campanha coordenada de espionagem cibernética, visando missões diplomáticas na Coreia do Sul. Os ataques foram realizados por meio de pelo menos 19 e-mails de spear-phishing que se faziam passar por contatos diplomáticos confiáveis, com o intuito de enganar funcionários de embaixadas e do ministério das relações exteriores. Os pesquisadores da Trellix identificaram que os atacantes utilizaram o GitHub como um canal de comando e controle, além de serviços de armazenamento em nuvem como Dropbox e Daum Cloud para distribuir um trojan de acesso remoto chamado Xeno RAT. Este malware permite que os atacantes assumam o controle dos sistemas comprometidos. Os e-mails, escritos em vários idiomas, incluíam assinaturas oficiais e referências a eventos reais, aumentando sua credibilidade. A análise sugere que a campanha pode ter ligações com operativos baseados na China, levantando a possibilidade de uma colaboração entre grupos de hackers. A situação é preocupante, especialmente considerando o aumento de atividades de espionagem cibernética e fraudes envolvendo trabalhadores de TI norte-coreanos em empresas ao redor do mundo.