Imagens secretas de um laptop manipulado revelam como espiões norte-coreanos estão passando despercebidos pela sua equipe de segurança

Operativos norte-coreanos foram flagrados ao vivo por câmeras, após pesquisadores de segurança atraírem-nos para um “laptop de desenvolvedor” armado, capturando como o grupo ligado ao Lazarus tentou se infiltrar em pipelines de emprego de cripto nos EUA usando ferramentas legítimas de contratação por IA e serviços em nuvem.

A evolução do cibercrime patrocinado por Estados foi supostamente registrada em tempo real por pesquisadores da BCA LTD, NorthScan e da plataforma de análise de malware ANY.RUN.

Capturando o atacante norte-coreano

O Hacker News compartilhou como, em uma operação coordenada, a equipe implantou um “honeypot”, que é um ambiente de vigilância disfarçado de laptop legítimo de desenvolvedor, para atrair o Lazarus Group.

As imagens resultantes oferecem ao setor sua visão mais clara até agora de como unidades norte-coreanas, especificamente a divisão Famous Chollima, estão contornando firewalls tradicionais simplesmente sendo contratadas pelo departamento de recursos humanos do alvo.

A operação começou quando os pesquisadores criaram uma persona de desenvolvedor e aceitaram um pedido de entrevista de um recrutador com o pseudônimo de “Aaron”. Em vez de implantar um payload de malware padrão, o recrutador direcionou o alvo para um arranjo de trabalho remoto comum no setor Web3.

Quando os pesquisadores concederam acesso ao “laptop”, que na verdade era uma máquina virtual fortemente monitorada projetada para simular uma estação de trabalho baseada nos EUA, os operativos não tentaram explorar vulnerabilidades de código.

Em vez disso, eles focaram em estabelecer sua presença como funcionários aparentemente exemplares.

Construindo confiança

Uma vez dentro do ambiente controlado, os operativos demonstraram um fluxo de trabalho otimizado para se misturar, e não para invadir.

Eles utilizaram softwares legítimos de automação de trabalho, incluindo Simplify Copilot e AiApply, para gerar respostas refinadas para entrevistas e preencher formulários de inscrição em larga escala.

Esse uso de ferramentas de produtividade ocidentais destaca uma escalada preocupante, mostrando que atores estatais estão aproveitando as próprias tecnologias de IA criadas para agilizar contratações corporativas para derrotá-las.

A investigação revelou que os atacantes rotearam seu tráfego através do Astrill VPN para mascarar sua localização e usaram serviços baseados em navegador para lidar com códigos de autenticação de dois fatores associados a identidades roubadas.

O objetivo final não era a destruição imediata, mas o acesso de longo prazo. Os operativos configuraram o Google Remote Desktop via PowerShell com um PIN fixo, garantindo que pudessem manter o controle da máquina mesmo se o anfitrião tentasse revogar privilégios.

Assim, seus comandos eram administrativos, executando diagnósticos do sistema para validar o hardware.

Essencialmente, eles não estavam tentando invadir uma wallet imediatamente.

Em vez disso, os norte-coreanos buscavam se estabelecer como insiders confiáveis, posicionando-se para acessar repositórios internos e painéis de controle em nuvem.

Uma fonte de receita de bilhões de dólares

Este incidente faz parte de um complexo industrial maior que transformou a fraude de emprego em um dos principais motores de receita para o regime sancionado.

A Multilateral Sanctions Monitoring Team estimou recentemente que grupos ligados a Pyongyang roubaram aproximadamente US$ 2,83 bilhões em ativos digitais entre 2024 e setembro de 2025.

Esse valor, que representa cerca de um terço da receita em moeda estrangeira da Coreia do Norte, sugere que o ciberroubo tornou-se uma estratégia econômica soberana.

A eficácia desse vetor de ataque de “camada humana” foi comprovada de forma devastadora em fevereiro de 2025 durante a violação da exchange Bybit.

Nesse incidente, atacantes atribuídos ao grupo TraderTraitor usaram credenciais internas comprometidas para disfarçar transferências externas como movimentações internas de ativos, ganhando controle de um smart contract de cold-wallet.

A crise de compliance

A mudança para engenharia social cria uma grave crise de responsabilidade para o setor de ativos digitais.

No início deste ano, empresas de segurança como Huntress e Silent Push documentaram redes de empresas de fachada, incluindo BlockNovas e SoftGlide, que possuem registros corporativos válidos nos EUA e perfis confiáveis no LinkedIn.

Essas entidades induzem com sucesso desenvolvedores a instalar scripts maliciosos sob o pretexto de avaliações técnicas.

Para oficiais de compliance e Chief Information Security Officers, o desafio mudou de forma. Protocolos tradicionais de Know Your Customer (KYC) focam no cliente, mas o fluxo de trabalho do Lazarus exige um rigoroso padrão de “Know Your Employee”.

O Department of Justice já começou a reprimir, apreendendo US$ 7,74 milhões ligados a esses esquemas de TI, mas o atraso na detecção ainda é alto.

Como demonstra a operação da BCA LTD, a única maneira de capturar esses atores pode ser mudar da defesa passiva para a decepção ativa, criando ambientes controlados que forcem os agentes de ameaça a revelar suas técnicas antes de receberem as chaves do tesouro.

O post Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team apareceu primeiro em CryptoSlate.