Hackers norte-coreanos usam IA para enganar RH! Falsos engenheiros infiltram-se e roubam 2,8 mil milhões – caso totalmente exposto

Investigadores de segurança da BCA LTD, NorthScan e ANY.RUN implementaram honeypots para atrair a unidade Chollima do Lazarus Group, gravando todo o processo de ataque dos hackers norte-coreanos ao disfarçarem um portátil de programador. O vídeo mostra agentes norte-coreanos a utilizarem ferramentas de IA para gerar respostas perfeitas a entrevistas, mascarar a sua localização e configurar um PIN fixo no Google Remote Desktop para garantir controlo a longo prazo, focando-se em construir uma imagem de funcionário exemplar em vez de atacar de imediato.

Crimes cibernéticos de 2,8 mil milhões de dólares tornam-se pilar da economia norte-coreana

Este caso é apenas uma parte de um sistema industrial muito maior, que já fez da fraude laboral uma das principais fontes de rendimento para o regime sancionado. Um grupo multilateral de monitorização de sanções estimou recentemente que organizações ligadas a Pyongyang roubaram cerca de 2,83 mil milhões de dólares em ativos digitais entre 2024 e setembro de 2025. Este valor representa cerca de um terço das receitas em moeda estrangeira da Coreia do Norte, mostrando que o cibercrime se tornou uma estratégia económica soberana.

Os 2,83 mil milhões de dólares equivalem ao PIB anual de muitos países pequenos. Estes fundos são usados para apoiar os programas nucleares e de mísseis balísticos da Coreia do Norte, tornando o combate aos hackers norte-coreanos não apenas uma questão de cibersegurança, mas também de segurança internacional. O Departamento do Tesouro dos EUA, o FBI e várias autoridades internacionais dão prioridade ao rastreio e bloqueio do cibercrime norte-coreano.

Após as sanções internacionais terem cortado os canais de comércio normais da Coreia do Norte, o cibercrime tornou-se um dos métodos mais importantes do país para obter moeda estrangeira. Ao contrário do contrabando tradicional de armas ou do tráfico de droga, o cibercrime tem custos baixos, riscos relativamente pequenos e enormes lucros. Uma equipa de hackers norte-coreanos bem treinada precisa apenas de um computador e ligação à Internet para roubar milhões de dólares de qualquer parte do mundo.

Esta operação estatal industrializada demonstra que a Coreia do Norte já considera o cibercrime um recurso estratégico. O Lazarus Group e a unidade Chollima não são grupos isolados, mas sim forças regulares, treinadas pelo Estado, pagas pelo governo e com objetivos claros. As suas operações são cuidadosamente planeadas, desde a escolha do alvo, falsificação de identidade, métodos técnicos até ao branqueamento de capitais, com cada fase atribuída a equipas especializadas.

Quatro grandes características da industrialização do cibercrime norte-coreano

Sistema de formação estatal: Seleção de talentos hackers desde o ensino secundário, com treino técnico e linguístico especializado

Implantação global dispersa: Hackers norte-coreanos dispersos pela China, Sudeste Asiático e Rússia, reduzindo o risco de rastreamento

Divisão organizacional: Penetração, ataque e branqueamento de capitais são geridos por equipas distintas, aumentando a eficiência

Gestão orientada para objetivos: Cada equipa tem metas anuais de roubo bem definidas, com recompensas para quem as cumpre

Em fevereiro de 2025, uma grande exchange centralizada (CEX) foi atacada, provando a eficácia deste tipo de ataque baseado no “fator humano”. Neste caso, hackers norte-coreanos atribuídos ao grupo TraderTraitor usaram credenciais internas roubadas para disfarçar transferências externas como movimentos internos de ativos, acabando por controlar o smart contract da cold wallet. A CEX perdeu mais de 1,4 mil milhões de dólares, tornando-se num dos maiores roubos de criptomoedas de sempre.

Armas de IA: da produtividade ao poder de ataque

(Fonte: BCA LTD)

A utilização de ferramentas de produtividade baseadas em IA pelos hackers norte-coreanos, agora convertidas em armas, foi a descoberta mais inquietante desta operação honeypot. Usaram software legítimo de automação de candidaturas, como o Simplify Copilot e o AiApply, para gerar em massa respostas perfeitas a entrevistas e preencher formulários. Estas ferramentas, criadas para ajudar candidatos a serem mais eficientes, tornaram-se agora armas dos agentes norte-coreanos para contornar filtros de recursos humanos.

O Simplify Copilot gera cartas de apresentação e CVs personalizados automaticamente a partir de descrições de vagas; o AiApply simula respostas humanas a entrevistas técnicas. Os hackers fundem estas ferramentas com identidades reais de engenheiros americanos roubadas, criando candidaturas quase irrepreensíveis. O departamento de RH vê um CV perfeito, uma entrevista fluente e um background autêntico, sem motivo para desconfiar.

O uso destas ferramentas de produtividade ocidentais evidencia uma escalada preocupante: agentes estatais estão a usar IA desenhada para simplificar processos de recrutamento empresarial para os minar. Isto demonstra a dualidade da IA: as mesmas ferramentas podem aumentar a produtividade ou servir de armas de ataque. As empresas que adotam IA no recrutamento devem considerar os riscos do seu uso malicioso.

A investigação mostra que os hackers norte-coreanos mascaram a sua localização com redirecionamento de tráfego e usam serviços baseados em browser para processar códigos de dupla autenticação de identidades roubadas. Esta combinação tecnológica revela um profundo conhecimento das defesas das empresas ocidentais. Contornam verificações de localização, processam códigos 2FA no browser e usam identidades roubadas para fornecer dados legítimos, criando um sistema de disfarce completo.

O objetivo final não é destruir o alvo de imediato, mas sim garantir controlo prolongado. Os agentes usam PowerShell para definir um PIN fixo no Google Remote Desktop, garantindo que, mesmo que o host tente revogar o acesso, continuam a controlar a máquina. Este backdoor revela a paciência e o planeamento de longo prazo dos hackers norte-coreanos, dispostos a investir meses a criar confiança para, no momento certo, dominar totalmente o sistema.

Honeypot revela cadeia de ataque completa e estratégias de resposta

(Fonte: NorthScan)

Os investigadores enganaram agentes norte-coreanos a aceder a um “portátil de programador” armadilhado, registando as suas ações em vídeo. Especialistas da BCA LTD, NorthScan e da plataforma de análise de malware ANY.RUN capturaram em tempo real a evolução do cibercrime estatal. Esta operação honeypot forneceu uma perspetiva inédita sobre a cadeia de ataque completa dos hackers norte-coreanos.

A operação começou com os investigadores a criarem uma identidade de programador e a aceitarem um convite para entrevista de um recrutador com o pseudónimo “Aaron”. Este recrutador não instalou malware tradicional, mas conduziu o alvo a aceitar um modelo de trabalho remoto comum no setor Web3. Quando o acesso ao portátil foi concedido, o agente norte-coreano não tentou explorar vulnerabilidades de código; pelo contrário, concentrou-se em construir a imagem de um funcionário exemplar.

O vídeo permitiu à indústria observar, de forma clara, como as forças norte-coreanas — especialmente a famosa unidade Chollima — conseguem contornar firewalls tradicionais ao serem contratados diretamente pelo departamento de recursos humanos do país alvo. Chollima, nome de uma criatura mítica coreana símbolo de rapidez e eficiência, é a unidade de elite da guerra cibernética norte-coreana, especializada em infiltrar instituições financeiras e empresas de criptomoedas.

Essencialmente, não tentam invadir carteiras imediatamente, mas sim tornar-se insiders de confiança para depois aceder a repositórios internos e painéis cloud. Correm diagnósticos de sistema, realizam tarefas normais de desenvolvimento, participam em reuniões de equipa e comportam-se como funcionários remotos diligentes. Esta paciência e capacidade de disfarce são as armas mais assustadoras, pois tornam quase impossível identificar a ameaça numa fase inicial.

Os seis estágios da cadeia completa de ataque dos hackers norte-coreanos

Preparação de identidade: Roubo ou compra de identidades e contas LinkedIn reais de engenheiros americanos

Candidatura assistida por IA: Uso do Simplify Copilot e AiApply para gerar candidaturas e respostas perfeitas

Passar na entrevista: Demonstração de competências técnicas e comunicação fluente em inglês

Construção de confiança: Atitude profissional e entrega de tarefas nos primeiros tempos

Implantação de backdoor: Configuração de mecanismos persistentes como Google Remote Desktop

Espera pela oportunidade: Paciência até obter acesso a sistemas críticos ou carteiras

Do KYC ao KYE: transformação fundamental no paradigma de defesa empresarial

A ascensão da engenharia social trouxe uma grave crise de responsabilidade à indústria de ativos digitais. Este ano, empresas de segurança como Huntress e Silent Push documentaram redes de empresas fachada, incluindo BlockNovas e SoftGlide, com registos válidos nos EUA e perfis LinkedIn credíveis. Estas entidades, sob pretexto de avaliações técnicas, levaram programadores a instalar scripts maliciosos.

Para compliance officers e CISOs, o desafio mudou. O tradicional “Conheça o seu Cliente” (KYC) foca-se no cliente, mas o modus operandi do Lazarus exige agora padrões rigorosos de “Conheça o seu Colaborador” (KYE). Esta mudança de paradigma obriga as empresas a repensar todo o processo de recrutamento e gestão de equipas.

O Departamento de Justiça já começou a combater estas fraudes de TI, apreendendo 7,74 milhões de dólares ligados a estes esquemas, mas a deteção ainda fica muito aquém do necessário. Estes 7,74 milhões são apenas a ponta do iceberg comparados com os 2,83 mil milhões roubados, mostrando a eficácia limitada das ações policiais. As redes de hackers norte-coreanos estão espalhadas por vários países e exploram o anonimato e a natureza transfronteiriça das criptomoedas, tornando o rastreio e a acusação extremamente difíceis.

Como indica a operação de law enforcement da BCA LTD, a única forma de capturar estes criminosos pode ser mudar da defesa passiva para uma postura de engano ativo, criando ambientes controlados que forcem os agentes de ameaça a expor as suas técnicas antes de obterem controlo de fundos. Esta estratégia representa uma mudança de mentalidade significativa na cibersegurança: de construir muros para montar armadilhas.

Cinco medidas-chave para o processo KYE nas empresas cripto

Múltiplas entrevistas por vídeo: Exigir câmara ligada e observar microexpressões e detalhes do ambiente

Validação técnica em tempo real: Testes práticos de programação, não apenas revisão de portefólios

Investigação de antecedentes aprofundada: Contactar ex-empregadores, validar diplomas e verificar a autenticidade das redes sociais

Concessão progressiva de privilégios: Novos funcionários só acedem inicialmente a sistemas não sensíveis, aumentando gradualmente o acesso

Monitorização de comportamentos anómalos: Detetar uso de ferramentas de mascaramento, horários de trabalho invulgares e instalações suspeitas

O sucesso da estratégia de honeypot mostra que, perante ameaças estatais, a defesa passiva tradicional já não chega. As empresas têm de adotar abordagens proativas, criando sistemas de isco para atrair e identificar ameaças potenciais. Quando os hackers norte-coreanos pensam que conseguiram infiltrar-se, na verdade estão a expor as suas ferramentas, técnicas e procedimentos (TTPs), fornecendo inteligência valiosa à comunidade de segurança.

Numa perspetiva mais alargada, este caso destaca os novos desafios de segurança na era do trabalho remoto. Quando as equipas estão espalhadas pelo mundo, sem nunca se conhecerem pessoalmente, assegurar a autenticidade de cada elemento torna-se crucial. A indústria cripto, pelo alto valor dos ativos e cultura remota prevalente, é um alvo prioritário dos hackers norte-coreanos. As empresas devem manter a flexibilidade do trabalho remoto, mas implementar mecanismos mais rigorosos de verificação e monitorização dos colaboradores.