A operação usa identidades falsas, VPN, colaboradores externos e IA para obter empregos remotos, manter acesso corporativo legítimo e gerar receita para programas militares norte-coreanos.
| Componente | Rede de trabalhadores de TI vinculada à Coreia do Norte, com uso de recrutadores, facilitadores, colaboradores, identidades fabricadas, VPN e contas corporativas legítimas. |
| Vetor | Candidatura e contratação remota por meio de documentação falsa, identidades roubadas ou cedidas, personas fabricadas, tráfego tunelado por nós de saída nos Estados Unidos e apoio de colaboradores em plataformas profissionais. |
| Impacto | Geração de receita ilícita para o regime norte-coreano, uso indevido de acesso interno confiável, possível roubo de informações proprietárias e extorsão quando dados sensíveis são obtidos. |
| Prioridade | Tratar contratações remotas suspeitas como risco interno, correlacionando identidade, geolocalização, VPN, padrões de login, atividade em repositórios, uso de dados corporativos e inconsistências de onboarding. |
| Artefatos | Uso reportado de Astrill VPN, Faceswap, IP Messenger, Google Translate, planilhas de controle de candidaturas e ferramentas de IA para criação de personas, sites falsos e refinamento de componentes de malware. |
| Alvos | Empresas dos Estados Unidos e de outros países que contratam trabalhadores remotos ou freelancers de TI, incluindo funções com acesso a dados corporativos, sistemas internos e ambientes SaaS. |
O Departamento do Tesouro dos Estados Unidos, por meio do OFAC, sancionou seis indivíduos e duas entidades por participação em um esquema de trabalhadores de tecnologia da informação associado à Coreia do Norte. A operação busca inserir operadores em empresas legítimas por meio de empregos remotos ou contratos freelance, ocultando a origem real dos candidatos e convertendo parte da remuneração em receita para o regime. O caso é relevante para equipes de segurança porque o ponto de entrada não é uma exploração tradicional de vulnerabilidade, mas um processo de contratação aparentemente legítimo que termina com credenciais válidas, dispositivos corporativos e acesso a dados internos.
A atividade é rastreada por diferentes nomes, incluindo Coral Sleet, Jasper Sleet, PurpleDelta e Wagemole. O padrão operacional combina documentação falsa, identidades roubadas ou emprestadas, perfis profissionais fabricados e apoio de colaboradores que ajudam a concluir etapas de recrutamento, abertura de contas ou recebimento de ativos corporativos. Em algumas ocorrências, a atividade também envolve malware para obtenção de informações proprietárias e sensíveis, além de tentativa de extorsão quando os operadores ameaçam expor dados obtidos durante o acesso.
A característica central da ameaça é a transformação de um funcionário remoto fraudulento em um risco interno. Depois de aprovado no processo seletivo, o operador passa a usar mecanismos normais de acesso, como identidade corporativa, sessão autenticada, laptop emitido pela empresa e permissões vinculadas à função. Isso reduz a utilidade de controles baseados apenas em bloqueio de tráfego externo e exige correlação entre sinais de RH, identidade, rede, endpoint, SaaS e comportamento de trabalho.
O fluxo começa com a preparação da persona. Recrutadores identificam candidatos ou perfis que podem ser usados no processo, enquanto facilitadores e trabalhadores de TI constroem currículos, documentos, contas profissionais e material de apoio para entrevistas. Colaboradores ocidentais, recrutados principalmente por meio de LinkedIn e GitHub, podem fornecer identidade pessoal ou informações que ajudam a passar por verificações de contratação e a receber equipamentos corporativos. Essa camada cria uma ponte entre a identidade apresentada ao empregador e o operador real que executa o trabalho.
A operação também usa infraestrutura de mascaramento geográfico. Foi descrito o uso de Astrill VPN para que operadores localizados em países como China roteiem tráfego por nós de saída nos Estados Unidos. O objetivo defensivo a observar é a diferença entre o local declarado do funcionário e os sinais técnicos de sessão, incluindo ASN, nó VPN, fuso horário operacional, latência, idioma do sistema, mudanças de IP e padrões de login fora do perfil esperado. Em uma tentativa de infiltração reportada, um trabalhador contratado em 15 de agosto de 2025 para atuar com dados Salesforce foi desligado dez dias depois, após indicadores consistentes de logins originados da China.
A automação por IA aparece em várias etapas do ciclo. Ferramentas de geração e edição ajudam a criar identidades digitais mais convincentes, acelerar reconhecimento de vagas e ajustar personas a mercados e funções específicas. O aplicativo Faceswap foi apontado como recurso para inserir rostos de trabalhadores norte-coreanos em documentos de identidade roubados e produzir retratos profissionais para currículos. Também há menção ao uso de ferramentas agentivas de IA para criar sites falsos de empresas e gerar, modificar ou reimplementar componentes de malware, inclusive com tentativas de contornar restrições de modelos de linguagem.
A comunicação e a gestão operacional não dependem apenas de um único canal. O esquema usa planilhas de controle de candidaturas e progresso de trabalho, IP Messenger para comunicação interna descentralizada e Google Translate para traduzir descrições de vagas, preparar candidaturas e interpretar respostas de ferramentas como ChatGPT. Essa combinação indica um processo industrializado, com tarefas distribuídas entre recrutadores, facilitadores, operadores e colaboradores, em vez de ações isoladas de um candidato fraudulento.
A superfície de risco inclui empresas que contratam desenvolvedores, administradores, analistas de dados, operadores de SaaS ou profissionais de TI em regime remoto, especialmente quando a função recebe acesso a dados sensíveis logo no onboarding. O risco aumenta quando a validação de identidade é tratada como evento único no início da contratação, sem verificação contínua de consistência entre localização declarada, dispositivo usado, horário de trabalho, comportamento em ferramentas corporativas e cadeia de recebimento do laptop.
Ambientes SaaS e bases de dados corporativas merecem atenção porque o acesso obtido é legítimo do ponto de vista técnico. O caso envolvendo trabalho com dados Salesforce mostra que o risco pode se manifestar em plataformas de negócio, não apenas em servidores, repositórios de código ou estáções de desenvolvimento. Quando o trabalhador fraudulento consegue permissões reais, a defesa precisa distinguir uso esperado de abuso persistente e discreto, incluindo consultas incomuns, exportações, acessos fora do horário declarado e movimentação entre aplicações sem justificativa funcional.
O OFAC também vinculou a rede a facilitadores financeiros e empresas usadas para conversão de valores, abertura de contas, movimentação de criptomoedas e apoio a trabalhadores em outros países. Entre os elementos sancionados estão uma empresa de tecnologia associada à gestão de delegações de trabalhadores no exterior, uma empresa vietnamita relacionada à conversão de cerca de 2,5 milhões de dólares em criptomoeda entre meados de 2023 e meados de 2025, além de indivíduos ligados a contas bancárias, transações e contratos freelance.
- Processos de contratação remota que aceitam identidade, endereço, entrevista e recebimento de equipamento sem validação cruzada contínua.
- Contas corporativas recém-criadas com acesso a Salesforce, repositórios, dados proprietários, ferramentas internas ou ambientes de desenvolvimento.
- Colaboradores externos que fornecem identidade, recebem laptops, auxiliam no onboarding ou intermediam pagamentos para operadores reais.
- Sessões autenticadas por VPN comercial, nós de saída nos Estados Unidos e padrões técnicos incompatíveis com a localização declarada.
A caça deve começar pela correlação entre identidade, RH e telemetria técnica. Contratações recentes em funções remotas devem ser avaliadas quando houver divergência entre endereço informado, local de envio do equipamento, país de origem de logins, fuso horário efetivo, idioma de navegador, horários de atividade e uso frequente de VPN comercial. O objetivo não é bloquear trabalhadores remotos legítimos, mas identificar combinações persistentes de sinais que indiquem persona fabricada ou operação delegada a terceiros.
Nos provedores de identidade, procure contas novas com logins de múltiplas geografias, mudanças rápidas de IP, uso de provedores conhecidos de VPN, tentativas de autenticação em horários incompatíveis com o contrato e sessões que alternam entre regiões sem deslocamento plausível. Em endpoints corporativos, observe inconsistências de usuário, presença de ferramentas de comunicação não aprovadas, transferências incomuns de arquivos, automação não documentada e acessos remotos que indiquem operação por pessoa diferente daquela contratada.
Em ambientes SaaS, repositórios e plataformas de dados, a telemetria deve destacar exportações, clonagens, consultas amplas, leitura de segredos, acesso a documentação interna sensível e atividade de baixa intensidade mantida por longos períodos. Quando houver sinais de extorsão ou malware, a investigação deve preservar trilhas de acesso, snapshots de permissões, histórico de autenticação, eventos de download e mensagens recebidas, evitando interação operacional com o ator.
- Logins consistentes a partir da China ou de infraestrutura VPN quando o funcionário declara presença em outra região.
- Uso de nós de saída dos Estados Unidos para simular presença doméstica durante processos de trabalho remoto.
- Conta recém-contratada acessando volumes incomuns de dados SaaS, repositórios, documentação interna ou informações proprietárias.
- Inconsistências entre entrevistas, identidade documental, foto de perfil, endereço de entrega do equipamento e telemetria de sessão.
- Sinais de uso de ferramentas não aprovadas para tradução, comunicação descentralizada, edição de identidade visual ou automação de tarefas.
A mitigação deve combinar controles de contratação, identidade e monitoramento pós-onboarding. Para funções remotas com acesso a dados sensíveis, a validação precisa ir além de documento e entrevista: endereço de entrega, titularidade de conta, consistência de perfil profissional, verificação de presença em chamadas, histórico técnico e justificativa de permissões devem ser tratados como controles de risco. O acesso inicial deve ser mínimo, com elevação gradual conforme necessidade operacional comprovada.
No lado técnico, a organização deve aplicar autenticação forte, postura de dispositivo gerenciado, restrição de acesso condicional por risco, revisão de VPN comercial e alertas para geolocalização inconsistente. Contas de recém-contratados devem ter regras específicas de monitoramento durante o período inicial, especialmente quando acessam dados de clientes, propriedade intelectual, repositórios, chaves, ambientes de desenvolvimento ou plataformas como Salesforce. Permissões concedidas por padrão devem ser removidas quando não forem necessárias para a função.
Quando uma conta for considerada suspeita, a resposta deve preservar evidências antes de revogar acesso. A ordem recomendada é congelar sessões ativas, coletar logs de identidade e SaaS, inventariar downloads e acessos, isolar endpoints corporativos, revisar repositórios e dados acessados, rotacionar segredos expostos e acionar os fluxos jurídico, RH e segurança. Se houver indício de malware ou extorsão, a investigação deve tratar o caso como possível comprometimento interno com acesso legítimo, não apenas como falha de credencial.
- Implementar verificação contínua de identidade e localização para funções remotas com acesso a dados sensíveis.
- Aplicar privilégio mínimo no onboarding e revisar permissões de contas novas após os primeiros dias de atividade.
- Correlacionar eventos de IdP, VPN, EDR, SaaS, repositórios, RH e envio de equipamentos em um mesmo fluxo de detecção.
- Criar alertas para uso de VPN comercial, geografia inconsistente, exportações incomuns e atividade persistente de baixa intensidade.
- Rotacionar credenciais, chaves e tokens acessados por contas suspeitas e validar se houve cópia de propriedade intelectual ou dados proprietários.
0 Comentários