Hackers de criptografia norte-coreanos foram pegos ao vivo – por laptops falsos

Operativos norte-coreanos foram capturados pela câmera, ao vivo, depois que pesquisadores de segurança os atraíram para um “laptop de desenvolvedor” armadilhado, capturando como a equipe ligada ao Lazarus tentou se misturar em um pipeline de trabalho criptográfico dos EUA usando ferramentas legítimas de contratação de IA e serviços em nuvem.

A evolução do cibercrime patrocinado pelo Estado foi supostamente capturado em tempo real por pesquisadores da BCA LTD, NorthScan e da plataforma de análise de malware ANY.RUN.

Capturando o atacante norte-coreano

Notícias sobre hackers compartilhado como, em uma operação policial coordenada, a equipe implantou um “honeypot”, que é um ambiente de vigilância disfarçado de laptop de um desenvolvedor legítimo, para atrair o Grupo Lazarus.

A filmagem resultante oferece à indústria a visão mais clara de como as unidades norte-coreanas, especificamente a divisão Famous Chollima, estão contornando os firewalls tradicionais simplesmente sendo contratadas pelo departamento de recursos humanos do alvo.

A operação começou quando os pesquisadores criaram uma persona de desenvolvedor e aceitaram um pedido de entrevista de um recrutador conhecido como “Aaron”. Em vez de implantar uma carga útil de malware padrão, o recrutador direcionou o alvo para um acordo de emprego remoto comum no setor Web3.

Quando os investigadores concederam acesso ao “portátil”, que na verdade era uma máquina virtual fortemente monitorizada, concebida para imitar uma estação de trabalho baseada nos EUA, os agentes não tentaram explorar vulnerabilidades de código.

Em vez disso, eles se concentraram em estabelecer sua presença como funcionários aparentemente exemplares.

Construindo confiança

Uma vez dentro do ambiente controlado, os agentes demonstraram um fluxo de trabalho otimizado para se misturar em vez de invadir.

Eles utilizaram software legítimo de automação de empregos, incluindo Simplify Copilot e AiApply, para gerar respostas refinadas às entrevistas e preencher formulários de inscrição em grande escala.

Esta utilização de ferramentas de produtividade ocidentais realça uma escalada perturbadora, mostrando que os intervenientes estatais estão a aproveitar as próprias tecnologias de IA concebidas para agilizar as contratações empresariais para os derrotar.

A investigação revelou que os invasores rotearam seu tráfego através da Astrill VPN para mascarar sua localização e usaram serviços baseados em navegador para lidar com códigos de autenticação de dois fatores associados a identidades roubadas.

O fim do jogo não foi a destruição imediata, mas o acesso a longo prazo. Os operadores configuraram o Google Remote Desktop via PowerShell com um PIN fixo, garantindo que poderiam manter o controle da máquina mesmo se o host tentasse revogar privilégios.

Portanto, seus comandos eram administrativos, executando diagnósticos do sistema para validar o hardware.

Essencialmente, eles não estavam tentando violar uma carteira imediatamente.

Em vez disso, os norte-coreanos procuraram estabelecer-se como pessoas de confiança, posicionando-se para aceder a repositórios internos e painéis de controlo na nuvem.

Um fluxo de receita de bilhões de dólares

Este incidente faz parte de um complexo industrial maior que transformou a fraude laboral numa principal motor de receitas do regime sancionado.

A Equipa de Monitorização de Sanções Multilaterais recentemente estimado que grupos ligados a Pyongyang roubaram aproximadamente 2,83 mil milhões de dólares em ativos digitais entre 2024 e setembro de 2025.

Este número, que representa cerca de um terço das receitas em moeda estrangeira da Coreia do Norte, sugere que o roubo cibernético se tornou uma estratégia económica soberana.

A eficácia deste vetor de ataque da “camada humana” foi comprovada de forma devastadora em Fevereiro de 2025 durante a violação da troca Bybit.

Nesse incidente, os invasores atribuídos ao grupo TraderTraitor usaram credenciais internas comprometidas para disfarçar transferências externas como movimentos internos de ativos, obtendo, em última análise, o controle de um contrato inteligente de carteira fria.

A crise de conformidade

A mudança em direção à engenharia social cria uma grave crise de responsabilidade para a indústria de ativos digitais.

No início deste ano, empresas de segurança como Huntress e Silent Push redes documentadas de empresas de fachada, incluindo BlockNovas e SoftGlide, que possuem registros corporativos válidos nos EUA e perfis confiáveis ​​no LinkedIn.

Essas entidades induzem com sucesso os desenvolvedores a instalar scripts maliciosos sob o pretexto de avaliações técnicas.

Para os responsáveis ​​pela conformidade e os diretores de segurança da informação, o desafio mudou. Os protocolos tradicionais Conheça Seu Cliente (KYC) concentram-se no cliente, mas o fluxo de trabalho do Lazarus exige um padrão rigoroso de “Conheça seu Funcionário”.

O Departamento de Justiça já começou a reprimir, apreendendo 7,74 milhões de dólares ligados a estes esquemas de TI, mas o atraso na deteção continua elevado.

Como demonstra a armação da BCA LTD, a única forma de capturar estes intervenientes pode ser passar da defesa passiva para o engano ativo, criando ambientes controlados que forçam os intervenientes da ameaça a revelar o seu ofício antes de receberem as chaves do tesouro.