Um esquema sofisticado e sustentado no tempo permitiu que trabalhadores de tecnologia da Coreia do Norte acessem redes e salários de empresas americanas fazendo passar por moradores locais. O Departamento de Justiça dos Estados Unidos determinou que, entre 2021 e outubro de 2024, a operação facilitou a contratação remota de pessoal informático da República Popular Democrática da Coreia em mais de cem empresas, incluindo várias da lista Fortune 500, mediante identidades roubadas e empresas fachadas.
Segundo os documentos judiciais publicados pelo próprio Departamento de Justiça, os envolvidos criaram estruturas que imitavam empresas legítimas: sites falsos, contas bancárias e sociedades de papel com nomes como Tony WKJ LLC, Hopana Tech LLC ou Independent Lab LLC. Essas fachadas serviram para justificar faturamento e pagamentos, e assim canalizar fundos para a rede norte-coreana. A pesquisa estima que as operações geraram mais de 5 milhões de dólares em receitas ilegais para o regime norte-coreano e provocaram perdas aproximadas de 3 milhões para as empresas afectadas. Os processos judiciais explicam detalhadamente como se passaram por cidadãos americanos, usando identidades sutraídas a mais de 80 pessoas reais; consultar a documentação oficial no site do DOJ: documentos judiciais.
Dois cidadãos americanos, Kejia Wang e Zhenxing Wang, foram acusados em junho de 2025 como parte de uma ação coordenada para desmantelar operações de cobrança de fundos que beneficiavam o governo da Coreia do Norte. Ambos se declararam culpados e receberam condenações de prisão: Kejia Wang foi sentenciado a 108 meses Depois de admitir sua culpa em setembro de 2025, enquanto Zhenxing Wang recebeu 92 meses Depois de um acordo em janeiro de 2026. O DOJ publicou comunicados relacionados a tais falhas e acusações em: sentença de Kejia Wang e cargos adicionais.
O modus operandi não se limitava à criação de papéis e sites. A pesquisa revela que um dos réus chegou a alojar fisicamente portáteis propriedade de empresas em domicílios dos Estados Unidos, permitindo que os trabalhadores remotos norte-coreanos se conectarem a sistemas corporativos sem ativar os alertas típicos que gera o acesso a partir de localizações forâneas. Esse tipo de artimanhas complica a detecção e converte trabalhos remotos legítimos em uma porta de entrada para campanhas de espionagem e fraude.
Além dos dois condenados, há vários emcausados vinculados ao mesmo entramado que permanecem fugitivos. O Departamento de Estado e programas como o Rewards for Justice ofereceram incentivos para obter informações sobre os envolvidos: neste caso, chegou-se a oferecer até 5 milhões de dólares por dados que permitam identificar e parar os suspeitos, e o aviso está disponível publicamente na iniciativa de recompensas: Rewards for Justice.
O caso não é um acontecimento isolado. O FBI e seus avisos de cibersegurança têm apontado desde 2023 a existência de grupos norte-coreanos que se fazem passar por pessoal de TI residente nos Estados Unidos para obter empregos remotos e assim infiltrar-se em redes corporativas. As advertências públicas do IC3 (a unidade antifraude do FBI) descrevem este padrão e recomendam medidas gerais de mitigação; a informação pode ser consultada nos comunicados do FBI: Aviso de 2024 e Aviso de 2023.
Do ponto de vista da segurança, o episódio reúne vários riscos onde convergem fraude de identidade, evasão de sanções e acesso persistente a sistemas. Além do impacto económico directo, a presença dissimulada de consultores ou engenheiros remotos em infra-estruturas críticas expõe dados sensíveis, propriedade intelectual e — em alguns sectores — capacidades relacionadas com a segurança nacional. Os pesquisadores apontam que essas campanhas permitem a um Estado agir de forma encoberta e com um custo relativamente baixo.
Para as empresas que operam com equipamentos distribuídos, isso obriga a repensar controles de confiança. As práticas tradicionalmente utilizadas para validar candidatos e fornecedores podem ser insuficientes face a identidades suplantadas e redes de fachada desenhadas para sortear verificações superficiais. Auditorias de identidade mais rigorosas, verificação multifator reforçada, controle rigoroso de dispositivos corporativos e arquiteturas de acesso que minimizem privilégios podem reduzir a superfície de ataque. A adoção de modelos de segurança baseados em 'zero trust' e a monitorização contínua do comportamento de contas privilegiadas ajudam a detectar anomalias que uma simples verificação documental não captaria.
Os acórdãos e acções judiciais contra os envolvidos mostram que as autoridades combinam ferramentas penais com cooperação internacional para cortar os fluxos financeiros e as redes logísticas que sustentam estas operações. No entanto, a permanência de acusados em paradeiro desconhecido e a existência de redes mais amplas indicam que a ameaça persistirá enquanto houver incentivos económicos e métodos eficazes para esconder a origem dos pagamentos e a identidade real dos trabalhadores.
O caso também levanta questões sobre a governação do trabalho remoto e os limites da contratação globalizada. Contratar talento fora de fronteiras traz benefícios, mas requer controles proporcionais ao risco. Num ambiente onde os intervenientes estatais podem explorar a economia digital para financiar programas proibidos ou realizar actividades de espionagem, a resposta precisa de combinar diligências empresariais, capacidades tecnológicas e cooperação entre governos.
Para acompanhar a evolução do caso e rever os documentos oficiais e comunicados, as notas e os processos publicados pelo Departamento de Justiça podem ser consultados neste link para os documentos da pesquisa: JOJ - documentos do caso, assim como os avisos do FBI mencionados anteriormente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...