ZACHXBT expõe trabalhadores norte -coreanos de TI que operam 30 identidades falsas em plataformas de desenvolvimento

Blockchain Investigator Zachxbt expôs uma sofisticada operação de trabalhador de TI norte -coreana que se infiltra às empresas de tecnologia ocidental por meio de posições de desenvolvimento remoto.

Em 13 de agosto relatórioo investigador destacou que uma fonte sem nome comprometeu um dispositivo pertencente a um dos cinco trabalhadores de TI da RPDC, fornecendo acesso sem precedentes aos seus métodos operacionais.

A equipe comprou sistematicamente números falsos de previdência social, upwork e contas do LinkedIn, números de telefone e aluguel de computadores para proteger empregos de desenvolvedor em vários projetos.

O Google Drive Exports e os perfis do navegador Chrome revelaram que os trabalhadores usaram extensivamente os produtos do Google para organizar os horários, tarefas e orçamentos da equipe enquanto se comunicavam principalmente em inglês.

Relatórios semanais de 2025 revelaram que os membros da equipe estavam lutando com os requisitos de trabalho, com uma observação: “Não consigo entender os requisitos de trabalho e não sei o que preciso fazer”, juntamente com a diretiva para “colocar esforços suficientes no coração”.

Métodos operacionais e pilha de tecnologia

Os trabalhadores da RPDC seguiram um padrão consistente de compra de contas de upwork e LinkedIn, compra ou aluguel de computadores e, em seguida, usando o software de acesso remoto Anydesk para realizar trabalhos para seus empregadores.

Planilhas de despesas documentaram compras de assinaturas de inteligência artificial, VPNs, proxies e outras ferramentas necessárias para manter suas identidades falsas.

Os horários e scripts de reunião foram mantidos para cada identidade falsa, incluindo personas detalhadas como “Henry Zhang”, com histórias completas de bastidores e histórias de trabalho.

Os trabalhadores usaram um endereço de carteira para enviar e receber pagamentos, aos quais o Zachxbt ligou várias operações fraudulentas.

O endereço da carteira empatou a equipe à exploração FAVRR de US $ 680.000 a partir de junho de 2025, onde o CTO da empresa e outros desenvolvedores foram revelados como trabalhadores de TI da RPDC usando documentos fraudulentos.

O Zachxbt identificou o Favrr CTO “Alex Hong” como tendo um plano de fundo suspeito com perfis do LinkedIn recentemente excluído e histórico de trabalho não verificável.

Não sofisticado, mas persistente

O histórico do navegador dos dispositivos comprometidos mostrou o uso frequente do Google traduzido com traduções coreanas enquanto operava a partir de endereços IP russos.

As evidências confirmaram as origens norte -coreanas dos trabalhadores, apesar de suas sofisticadas comunicações inglesas e personas ocidentais.

ZACHXBT observou o principal desafio no combate aos trabalhadores da RPDC de TI decorre de um falta de colaboração Entre os serviços e o setor privado, combinado com negligência contratando equipes que se tornam defensivas quando alertadas sobre potencial infiltração.

Os trabalhadores convertem os ganhos do trabalho de desenvolvimento em criptomoeda através do Payoneer, com o investigador observando que “não são sofisticados, mas são persistentes, pois há tantos inundando o mercado de trabalho globalmente para funções”.

A exposição revela a escala de infiltração norte -coreana nas empresas de tecnologia ocidental, com a operação comprometida representando apenas uma equipe entre centenas potencialmente operando esquemas semelhantes em plataformas de desenvolvimento remoto.