- Um hacker invadiu o dispositivo de um suposto trabalhador de TI ligado à Coreia do Norte e expôs detalhes internos
- Os documentos indicam que um integrante chamado ‘Jerry’ atuava com uma equipe de cerca de 140 membros
- ZachXBT apontou que alguns usuários no sistema pareciam associados a entidades sancionadas pelo OFAC
Um hacker invadiu o dispositivo de um suposto trabalhador de TI da Coreia do Norte e expôs detalhes internos de uma operação que misturava empregos remotos e tentativas de ataque a projetos cripto. Segundo documentos divulgados pelo investigador ZachXBT, o grupo usava identidades falsas para conseguir vagas de desenvolvimento, enquanto coordenava pagamentos em criptomoedas para financiar a atividade. Além disso, os dados mostram falhas básicas de segurança, como senhas fracas e infraestrutura improvisada, o que facilitou a invasão e o vazamento.
Vazamento revela rede de 140 pessoas e ganhos de US$ 1 milhão por mês
Os documentos indicam que um integrante chamado ‘Jerry‘ atuava com uma equipe de cerca de 140 membros. Assim, o grupo teria gerado aproximadamente US$ 1 milhão por mês, somando US$ 3,5 milhões em cripto desde o fim de novembro.
Além disso, o vazamento expôs como o grupo organizava repasses em um site chamado luckyguys.site. No entanto, eles usavam uma senha compartilhada e fácil de adivinhar, ‘123456’, o que aumentou a fragilidade do esquema.
Em seguida, ZachXBT apontou que alguns usuários no sistema pareciam associados a entidades sancionadas pelo OFAC, como Sobaeksu, Saenal e Songkwang.
Além disso, o material sugere que o grupo convertia pagamentos em cripto para moeda fiduciária e enviava valores a contas bancárias na China, usando plataformas como Payoneer.
Enquanto isso, o rastreamento de endereços também mostrou conexões com carteiras norte-coreanas já ligadas a bloqueios anteriores de stablecoins, segundo o investigador.
Placar de desempenho e currículos falsos expõem método de infiltração em empresas
O vazamento também trouxe um ‘leaderboard‘ interno que comparava quanto cada trabalhador havia captado em cripto para a organização desde 8 de dezembro.
Assim, o grupo tratava a operação como meta de performance e não como trabalho isolado. Além disso, capturas de tela mostraram o uso de VPN e acesso a e-mails com várias candidaturas para vagas de desenvolvedor.
Por outro lado, a fraude não parava no currículo. O material aponta documentos de identificação adulterados, incluindo comprovantes com nomes e endereços falsos. Portanto, a operação dependia de camadas de disfarce para passar por processos de contratação e, depois, receber pagamentos em cripto.
Ao mesmo tempo, o caso reforça um risco recorrente para empresas Web3. Grupos ligados à Coreia do Norte continuam mirando o setor com táticas cada vez mais completas, combinando engenharia social, trabalho remoto e ofensivas técnicas.
Além disso, agentes norte-coreanos roubaram mais de US$ 7 bilhões desde 2009, com grande parte ligada a projetos cripto, incluindo ataques notórios mencionados no texto.
