Esquemas de identidades emprestadas, roubo de identidade e fazendas de laptops permitiram que operadores estrangeiros obtivessem trabalho remoto em 136 empresas dos EUA e gerassem mais de US$ 2,2 milhões para o regime norte-coreano.
| Componente | Processos de contratação remota, plataformas freelance, identidades de cidadãos dos EUA, laptops corporativos hospedados em residências e fluxos de pagamento de salários para trabalhadores de TI no exterior. |
| Vetor | Uso de identidades norte-americanas emprestadas, roubadas ou alugadas, instalação não autorizada de software de acesso remoto em laptops corporativos e hospedagem desses equipamentos em fazendas domésticas para simular presença nos EUA. |
| Impacto | Mais de 136 empresas norte-americanas impactadas, mais de US$ 2,2 milhões gerados para o regime da Coreia do Norte, mais de 18 identidades de pessoas dos EUA comprometidas e pelo menos 40 empresas atingidas por identidades vendidas por um dos réus. |
| Prioridade | Revisar contratações remotas de TI, validar identidade e localização de trabalhadores, procurar laptops corporativos acessados por ferramentas remotas não autorizadas e auditar fluxos de pagamento associados a contas, transmissores de dinheiro e beneficiários estrangeiros. |
| Artefatos | Domínio apreendido Upworksell[.]com, empresa Taggcar Inc., até 871 identidades proxy gerenciadas por um réu, pelo menos três fazendas de laptops nos EUA e criptomoedas acima de US$ 15 milhões apreendidas de atores APT38. |
| Valores | Um facilitador recebeu pelo menos US$ 51.397; outros dois receberam ao menos US$ 3.450 e US$ 4.500; outro réu obteve mais de US$ 89.000; um operador aceitou confiscar mais de US$ 1,4 milhão. |
Cinco indivíduos admitiram participação em esquemas que viabilizaram a entrada fraudulenta de trabalhadores de TI ligados à Coreia do Norte em empresas dos Estados Unidos. A operação combinava fraude de identidade, intermediação de mão de obra remota, hospedagem física de laptops corporativos e acesso remoto não autorizado para criar a aparência de que profissionais estavam trabalhando dentro do território norte-americano. O resultado descrito pelas autoridades foi uma superfície de risco que alcançou mais de 136 empresas, com geração de mais de US$ 2,2 milhões em receita para o regime norte-coreano e comprometimento de mais de 18 identidades de pessoas dos EUA.
Três réus admitiram permitir que trabalhadores localizados fora dos EUA usassem suas identidades entre aproximadamente setembro de 2019 e novembro de 2022 para conseguir empregos em empresas norte-americanas. Além de ceder identidade, eles hospedavam laptops emitidos pelos empregadores em suas residências e instalavam software de desktop remoto sem autorização, permitindo que os trabalhadores estrangeiros se conectassem aos equipamentos como se estivessem operando localmente. Em alguns casos, a facilitação incluiu apoio em procedimentos de verificação exigidos por empregadores, inclusive comparecimento a testes toxicológicos em nome dos trabalhadores.
Outro réu admitiu conspiração de fraude eletrônica e roubo de identidade agravado por furtar identidades de cidadãos dos EUA e vendê-las a trabalhadores de TI para obtenção de empregos em 40 empresas. A infraestrutura usada incluía o domínio defangado Upworksell[.]com, desenhado para permitir compra ou aluguel de identidades roubadas ou emprestadas. O mesmo operador teria gerenciado até 871 identidades proxy, facilitado pelo menos três fazendas de laptops nos EUA e ajudado clientes no exterior a acessar transmissores de serviços monetários para transferir renda de emprego a contas estrangeiras sem abertura física de conta bancária nos EUA.
O fluxo operacional descrito não depende de exploração de vulnerabilidade em software, mas de abuso sistemático de controles de identidade, contratação e administração de ativos corporativos. A primeira etapa era obter uma identidade utilizável nos EUA, por empréstimo, aluguel ou roubo. Essa identidade era usada para passar por plataformas freelance, entrevistas, cadastros de empregadores e verificações de elegibilidade. Quando o trabalhador era contratado, o laptop emitido pela empresa não seguia para o operador real no exterior; ele era recebido ou hospedado por um facilitador em território norte-americano, reduzindo suspeitas em controles baseados apenas em endereço de entrega, localização presumida ou documentação apresentada.
A segunda etapa era transformar residências em pontos de acesso persistentes. Os facilitadores instalavam software de acesso remoto nos laptops corporativos sem autorização do empregador. A conexão remota permitia que o trabalhador no exterior interagisse com o ambiente corporativo por meio de um dispositivo fisicamente presente nos EUA, o que poderia contornar verificações simples de geolocalização, inventário e origem de tráfego. Esse modelo também dificulta a distinção entre trabalho remoto legítimo e atividade fraudulenta quando a empresa confia apenas no equipamento corporativo, na identidade declarada do contratado e em sinais de rede pouco granulares.
O esquema também incluía monetização e movimentação financeira. Salários pagos por empresas vítimas eram canalizados aos trabalhadores no exterior, e parte da estrutura buscava facilitar o acesso a transmissores de serviços monetários para envio de renda a contas estrangeiras. Em um caso separado dentro do mesmo conjunto de ações, uma empresa chamada Taggcar Inc. teria sido usada de junho de 2020 a agosto de 2024 para fornecer trabalhadores de TI apresentados como certificados a empresas dos EUA, enquanto um laptop era operado a partir de uma residência na Flórida. Esse arranjo produziu mais de US$ 943.069 em pagamentos salariais no recorte citado, com a maior parte remetida aos trabalhadores estrangeiros.
A exposição principal recai sobre empresas que contratam profissionais de TI remotos, especialmente por plataformas online, intermediários de mão de obra, fornecedores pequenos ou processos de onboarding que aceitam identidade documental sem validação contínua de presença, controle do ativo e coerência operacional. Os casos citados envolveram empresas norte-americanas, plataformas freelance baseadas na Califórnia e na Pensilvânia, laptops corporativos enviados para residências de facilitadores, transmissores de serviços monetários e identidades de cidadãos dos EUA usadas como proxy para contratação.
O risco técnico não se limita ao pagamento indevido de salários. Trabalhadores de TI têm, por natureza, acesso a repositórios, sistemas internos, ferramentas de desenvolvimento, ambientes de nuvem, tickets, segredos de build e documentação operacional. O material analisado não confirma exfiltração específica nessas empresas, portanto o impacto deve ser tratado como exposição de acesso e fraude de identidade, não como vazamento de dados comprovado. Ainda assim, a presença de um operador não autorizado em função técnica justifica revisão de permissões, trilhas de auditoria e artefatos produzidos durante o período de contratação.
- Empresas que contrataram trabalhadores remotos de TI entre os períodos associados aos réus, incluindo vínculos de aproximadamente setembro de 2019 a novembro de 2022 e de junho de 2020 a agosto de 2024.
- Laptops corporativos enviados a endereços residenciais e posteriormente acessados por software de desktop remoto instalado sem autorização.
- Contas de plataformas freelance, fornecedores de mão de obra e empresas intermediárias usadas para apresentar trabalhadores como profissionais elegíveis ou certificados.
- Identidades de cidadãos dos EUA usadas para contratação, aluguel, venda ou passagem por verificações de empregadores.
- Fluxos de pagamento de salário enviados a trabalhadores estrangeiros por meio de contas, transmissores de serviços monetários, exchanges ou intermediários financeiros.
A busca defensiva deve priorizar inconsistências entre identidade, ativo, endereço físico, localização lógica e comportamento de trabalho. Um laptop corporativo que permanece por longos períodos em um endereço residencial de recebimento, mas apresenta sessões remotas regulares, horários incompatíveis com o usuário declarado ou administração local não prevista, deve ser tratado como sinal de risco. Registros de EDR, inventário de software e logs de autenticação podem revelar instalação de ferramentas remotas fora do catálogo aprovado, criação de sessões persistentes e padrões de conexão que não correspondem ao perfil esperado do contratado.
Equipes de identidade devem comparar dados de onboarding, entrevistas, testes de verificação, endereços de entrega, contas bancárias, plataformas de pagamento e alterações de contato. A fraude descrita usava facilitadores para passar por etapas humanas de verificação, portanto uma única validação inicial não é suficiente. O controle precisa considerar revalidações, coerência entre presença em reuniões, uso do dispositivo emitido, localização de login, histórico de acesso a repositórios e relação entre contratante, fornecedor e beneficiário financeiro.
No âmbito de inteligência de ameaças, a atividade deve ser acompanhada como uma combinação de ameaça interna fraudulenta, abuso de identidade e geração ilícita de receita. A referência a APT38, também conhecido como BlueNoroff, aparece em ações paralelas de confisco de criptomoedas acima de US$ 15 milhões, associadas a roubos em plataformas de moeda virtual e lavagem por pontes, mixers, exchanges e operadores de balcão. Esse recorte não deve ser misturado automaticamente ao acesso dos trabalhadores de TI dentro de cada empresa, mas reforça a necessidade de olhar para fluxos financeiros, criptoativos e intermediários quando houver vínculo com esquemas norte-coreanos.
- Laptops corporativos com ferramentas de acesso remoto não aprovadas, sessões recorrentes fora do padrão e administração local incompatível com o usuário atribuído.
- Divergência entre endereço de entrega do equipamento, localização de autenticação, fuso de trabalho, presença em chamadas e identidade apresentada no processo de contratação.
- Contratados de TI associados a identidades reutilizadas, documentos inconsistentes, mudanças frequentes de contato ou uso de intermediários pouco transparentes.
- Pagamentos de salário encaminhados para beneficiários, transmissores de dinheiro ou contas estrangeiras sem justificativa compatível com o contrato.
- Relação com o domínio defangado
Upworksell[.]com, com Taggcar Inc. ou com fazendas de laptops já identificadas em investigações internas ou comunicações legais.
A resposta deve começar pela revisão de trabalhadores remotos de TI com acesso sensível, priorizando contratados por plataformas, intermediários e fornecedores que receberam equipamentos corporativos em endereços residenciais. O objetivo é confirmar que a pessoa verificada é a mesma que opera o ativo, que o equipamento está sob controle do trabalhador autorizado e que não existe ponte remota não aprovada entre o laptop e operadores externos. Quando houver suspeita, a organização deve preservar logs, isolar o dispositivo, suspender acessos privilegiados e conduzir revisão de alterações feitas pelo usuário no período analisado.
O controle preventivo precisa combinar validação de identidade com segurança de endpoint e governança de terceiros. Verificações de contratação devem ser reforçadas por validações periódicas, controles de presença coerentes com privacidade e lei aplicável, inventário contínuo de software remoto, bloqueio de ferramentas não autorizadas e políticas de acesso mínimo. Para funções de engenharia, também é necessário revisar tokens, chaves de repositório, permissões em nuvem, acesso a pipelines de CI/CD e participação em grupos administrativos, sem presumir vazamento quando a telemetria ainda não demonstrar esse fato.
Organizações que identificarem conexão com esse padrão devem tratar pagamentos como parte da investigação. Auditoria financeira e jurídica deve mapear salários, reembolsos, contas de destino e intermediários usados pelos contratados, preservando evidências sem expor dados pessoais além do necessário. Quando houver confirmação de identidade comprometida, a resposta deve incluir notificação adequada, correção de registros internos e cooperação com autoridades competentes.
- Inventariar trabalhadores remotos de TI, fornecedores e intermediários com acesso a código, nuvem, repositórios, tickets, sistemas internos e dados operacionais.
- Bloquear ou remover software de desktop remoto fora do padrão aprovado e revisar dispositivos que receberam esse software após o envio ao usuário final.
- Revalidar identidade, controle físico do laptop e coerência operacional de contratados associados a endereços residenciais, plataformas freelance ou empresas intermediárias.
- Rotacionar credenciais, tokens e chaves acessíveis a contas suspeitas, priorizando repositórios, CI/CD, nuvem e sistemas administrativos.
- Revisar fluxos de pagamento e beneficiários vinculados a contratos suspeitos, mantendo evidências para investigação e resposta legal.
0 Comentários