Operativos norte-coreanos foram apanhados em câmara, ao vivo, depois de investigadores de segurança os atraírem para um "laptop de desenvolvedor" armadilhado, capturando como a equipa ligada ao Lazarus tentou infiltrar-se num pipeline de trabalho cripto dos EUA usando ferramentas legítimas de contratação de IA e serviços na nuvem.
A evolução no cibercrime patrocinado pelo estado foi supostamente capturada em tempo real por investigadores da BCA LTD, NorthScan e a plataforma de análise de malware ANY.RUN.
Capturando o atacante norte-coreano
O Hacker News partilhou como, numa operação coordenada, a equipa implementou um "honeypot", que é um ambiente de vigilância disfarçado como um laptop legítimo de desenvolvedor, para atrair o Grupo Lazarus.
As imagens resultantes oferecem à indústria a visão mais clara até agora de como as unidades norte-coreanas, especificamente a divisão Famous Chollima, estão a contornar firewalls tradicionais simplesmente sendo contratadas pelo departamento de recursos humanos do alvo.
A operação começou quando os investigadores criaram uma persona de desenvolvedor e aceitaram um pedido de entrevista de um recrutador conhecido como "Aaron". Em vez de implementar um payload de malware padrão, o recrutador direcionou o alvo para um acordo de emprego remoto comum no setor Web3.
Quando os investigadores concederam acesso ao "laptop", que era na verdade uma máquina virtual fortemente monitorizada projetada para imitar uma estação de trabalho baseada nos EUA, os operativos não tentaram explorar vulnerabilidades de código.
Em vez disso, concentraram-se em estabelecer a sua presença como funcionários aparentemente modelo.
Construindo confiança
Uma vez dentro do ambiente controlado, os operativos demonstraram um fluxo de trabalho otimizado para se misturarem em vez de invadirem.
Utilizaram software legítimo de automação de trabalho, incluindo Simplify Copilot e AiApply, para gerar respostas polidas de entrevista e preencher formulários de candidatura em escala.
Este uso de ferramentas de produtividade ocidentais destaca uma escalada perturbadora, mostrando que atores estatais estão a aproveitar as próprias tecnologias de IA projetadas para agilizar a contratação corporativa para derrotá-las.
A investigação revelou que os atacantes encaminharam o seu tráfego através da VPN Astrill para mascarar a sua localização e usaram serviços baseados em navegador para lidar com códigos de autenticação de dois fatores associados a identidades roubadas.
O objetivo final não era destruição imediata, mas acesso a longo prazo. Os operativos configuraram o Google Remote Desktop via PowerShell com um PIN fixo, garantindo que poderiam manter o controlo da máquina mesmo se o host tentasse revogar privilégios.
Assim, os seus comandos eram administrativos, executando diagnósticos do sistema para validar o hardware.
Essencialmente, não estavam a tentar violar uma carteira imediatamente.
Em vez disso, os norte-coreanos procuraram estabelecer-se como pessoas confiáveis internas, posicionando-se para aceder a repositórios internos e painéis de controle na nuvem.
Um fluxo de receita de bilhões de dólares
Este incidente é parte de um complexo industrial maior que transformou a fraude de emprego num motor de receita primário para o regime sancionado.
A Equipa de Monitorização de Sanções Multilaterais estimou recentemente que grupos ligados a Pyongyang roubaram aproximadamente 2,83 bilhões de dólares em ativos digitais entre 2024 e setembro de 2025.
Esta figura, que representa aproximadamente um terço da receita de moeda estrangeira da Coreia do Norte, sugere que o ciberfurto se tornou uma estratégia económica soberana.
A eficácia deste vetor de ataque de "camada humana" foi comprovada de forma devastadora em fevereiro de 2025 durante a violação da exchange Bybit.
Nesse incidente, atacantes atribuídos ao grupo TraderTraitor usaram credenciais internas comprometidas para disfarçar transferências externas como movimentos de ativos internos, acabando por ganhar controlo de um contrato inteligente de cold wallet.
A crise de conformidade
A mudança para a engenharia social cria uma grave crise de responsabilidade para a indústria de ativos digitais.
No início deste ano, empresas de segurança como Huntress e Silent Push documentaram redes de empresas de fachada, incluindo BlockNovas e SoftGlide, que possuem registros corporativos válidos nos EUA e perfis credíveis no LinkedIn.
Estas entidades induzem com sucesso os desenvolvedores a instalar scripts maliciosos sob o pretexto de avaliações técnicas.
Para oficiais de conformidade e Diretores de Segurança da Informação, o desafio sofreu mutação. Os protocolos tradicionais de Know Your Customer (KYC) / Conheça Seu Cliente concentram-se no cliente, mas o fluxo de trabalho do Lazarus necessita de um rigoroso padrão "Know Your Employee".
O Departamento de Justiça já começou a reprimir, apreendendo 7,74 milhões de dólares ligados a estes esquemas de TI, mas o atraso na deteção permanece alto.
Como a operação da BCA LTD demonstra, a única maneira de apanhar estes atores pode ser mudar da defesa passiva para o engano ativo, criando ambientes controlados que forçam os atores de ameaça a revelar o seu ofício antes que lhes sejam entregues as chaves do tesouro.
Fonte: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
