Trabalhadores de TI norte-coreanos usaram mais de 30 identidades falsas para atacar empresas cripto: relatório

Um dispositivo comprometido de um trabalhador de TI norte-coreano expôs o funcionamento interno da equipe por trás do hack de $680.000 da Favrr e o uso de ferramentas Google para atingir projetos cripto.

De acordo com o investigador on-chain ZachXBT, a trilha começou com uma fonte anônima que ganhou acesso ao computador de um dos trabalhadores, descobrindo capturas de tela, exportações do Google Drive e perfis do Chrome que revelaram como os operativos planeavam e executavam os seus esquemas.

Com base na atividade da carteira e correspondência de impressões digitais, ZachXBT verificou o material de origem e vinculou as transações de criptomoeda do grupo ao exploit de junho de 2025 do mercado de fan token Favrr. Um endereço de carteira, "0x78e1a", mostrou ligações diretas aos fundos roubados do incidente.

Dentro da operação

O dispositivo comprometido mostrou que a pequena equipe — seis membros no total — compartilhava pelo menos 31 identidades falsas. Para conseguir empregos de desenvolvimento blockchain, acumularam documentos de identificação emitidos pelo governo e números de telefone, chegando a comprar contas do LinkedIn e Upwork para completar sua cobertura.

Um roteiro de resposta encontrado no dispositivo mostrou que eles se gabavam de experiência em empresas blockchain conhecidas, incluindo Polygon Labs, OpenSea e Chainlink.

As ferramentas Google eram centrais para o seu fluxo de trabalho organizado. Descobriu-se que os atores de ameaça estavam usando planilhas do Drive para rastrear orçamentos e cronogramas, enquanto o Google Translate preenchia a lacuna linguística entre coreano e inglês. 

Entre as informações extraídas do dispositivo estava uma planilha que mostrava trabalhadores de TI alugando computadores e pagando por acesso VPN para comprar novas contas para suas operações.

A equipe também dependia de ferramentas de acesso remoto como AnyDesk, permitindo controlar sistemas de clientes sem revelar suas verdadeiras localizações. Registros de VPN vincularam sua atividade a múltiplas regiões, mascarando endereços IP norte-coreanos.

Descobertas adicionais revelaram o grupo pesquisando maneiras de implantar tokens em diferentes blockchains, explorando empresas de IA na Europa e mapeando novos alvos no espaço cripto.

Atores de ameaça norte-coreanos usam empregos remotos

ZachXBT encontrou o mesmo padrão sinalizado em vários relatórios de cibersegurança — trabalhadores de TI norte-coreanos conseguindo empregos remotos legítimos para se infiltrar no setor cripto. Ao se passarem por desenvolvedores freelance, ganham acesso a repositórios de código, sistemas de backend e infraestrutura de carteira.

Um documento descoberto no dispositivo continha notas de entrevista e materiais de preparação provavelmente destinados a serem mantidos na tela ou próximos durante chamadas com potenciais empregadores.