O Gabinete de Controlo de Activos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) deu um passo firme contra uma operação de engenharia social e fraude laboral ligada à Coreia do Norte que, segundo as autoridades, serve para gerar receitas ilegais que alimentam programas de armas de destruição em massa. Em seu comunicado, o Tesouro detalha sanções econômicas contra várias pessoas e organizações envolvidas no que se conhece na comunidade de segurança como os esquemas "Coral Sleet/Jasper Sleet", "PurpleDelta" ou "Wagemole". Para o Tesouro, trata-se de uma rede que usa empregos remotos como fachada para roubar dados, lavar dinheiro e pagar à ditadura norte-coreana, e sua nota oficial oferece mais contexto sobre essas medidas ( comunicado do Departamento do Tesouro).
O que torna particularmente marcante neste caso não é apenas a sofisticação técnica, mas a mistura de técnicas tradicionais de fraude com ferramentas modernas impulsionadas por inteligência artificial e serviços de anonimato na rede. Segundo relatos de empresas de cibersegurança, os atores montam identidades inventadas ou usurpam dados pessoais reais para se candidatarem e obter posições técnicas em empresas de todo o mundo. Uma parte considerável dos salários foi desviada depois para redes de conversão de divisas e criptomoedas, e em alguns episódios até foram implantados programas maliciosos para extrair propriedade intelectual ou extorsionar as vítimas com vazamentos de informação.
Entre as entidades sancionadas figura a conhecida Amnokgang Technology Development Company, à qual as autoridades atribuem a gestão de delegações de trabalhadores IT no estrangeiro e actividades de aquisição ilícita de tecnologia militar e comercial. Também são apontados intermediários no Vietnã, como a assinatura Quangvietdnbg International Services Company Limited e seu diretor, aos que atribuem operações de conversão de fundos, incluindo conversões para criptomoedas por vários milhões de dólares, que facilitariam o fluxo de recursos para Pyongyang.
Os nomes de pessoas envolvidas aparecem dispersos na pesquisa: desde facilitadores que abrem e administram contas bancárias e carteiras cripto até coordenadores que gerem os próprios trabalhadores remotos. Entre eles se citam indivíduos como Nguyen Quang Viet, Do Phi Khanh e Hoang Van Nguyen por seu papel na logística financeira, e operacionais técnicos como Yun Song Guk, que teria dirigido grupos de trabalho do exterior. OFAC e outros investigadores têm traçado estas cadeias financeiras e operacionais como parte da tentativa de interromper o mecanismo de geração de receitas não declaradas do regime norte-coreano.
A camada técnica da operação é notável pelo seu pragmatismo. Vários relatórios de segurança documentaram o uso de serviços VPN capazes de sortear corta-fogos nacionais para mascarar a localização real dos funcionários. Um caso assinalado pela empresa LevelBlue aponta para o emprego de Astrill VPN para o tunelizar o tráfego e sair à Internet por nós americanos, o que ajuda a que os primeiros de sessão pareçam legítimos a partir da perspectiva dos sistemas de detecção das empresas contratantes ( Análise da LevelBlue).
Em paralelo, a inteligência artificial reduziu drasticamente o custo e a complexidade de produzir identidades digitais credíveis. Pesquisadores da Microsoft e outros grupos alertaram sobre o uso de modelos de IA para elaborar histórias de trabalho, redigir comunicações persuasivas e, de forma inquietante, gerar ou manipular imagens de rosto para colocá-las em documentos roubados. Ferramentas de tipo "faceswap" e serviços que permitem a geração de retratos profissionais estão sendo aproveitadas para dar uma aparência mais sólida aos currículos e aos perfis falsos que se apresentam a recrutadores ou portais de emprego ( Relatório Microsoft sobre IA como técnica operacional).
Mas a IA não fica na maquiagem de perfis: há indícios de que atores maliciosos usam capacidades de agente para automatizar a criação de sites falsos, refinar malware e até burlar restrições de modelos de linguagem para que atuem de maneira mais autônoma. Essa combinação de persistência humana e automação converte estes operacionais em uma ameaça de baixo custo e alto desempenho, capaz de se manter infiltrada durante meses ou anos se passar despercebida.
A operacional interna da rede também surpreende pela sua divisão do trabalho e pela integração com colaboradores externos. Reclutadores preparam entrevistas e gravam sessões; facilitadores desenham as personalidades digitais e gerem as contratações; colaboradores ocidentais — por vezes sem saber, outras vezes com consentimento — cedem identidades ou documentos que depois permitem aos falsos funcionários superar verificações e receber equipamentos corporativos. Um documento técnico partilhado por Flare e com contribuições da IBM X-Force descreve este ecossistema e detalha ferramentas de trabalho que vão desde folhas de tempos para rastrear pedidos até mensagens descentralizadas para se coordenar internamente ( Relatório de Flare sobre a ameaça).
As tentativas de infiltração nem sempre prosperam. Em um dos casos detectados por uma assinatura de segurança, um candidato contratado para trabalhar de forma remota na plataforma Salesforce foi demitido logo depois quando os registros mostraram inícios de sessão persistentes da China e outros indicadores incompatíveis com um trabalhador nacional. Esse episódio ilustra que os controles adequados e a vigilância sobre padrões de acesso podem cortar operações maliciosas em fases precoces.
Diante deste fenômeno, as recomendações dos especialistas giram em torno de tratar essas fraudes como um risco interno: ou seja, como se fossem empregados com credenciais legítimas que podem fazer um dano sustentado se não se monitoriza sua atividade. Isso requer observabilidade nos inícios de sessão, detecção de padrões de "baixo e lento" em exfiltração de dados, controles estritos de onboarding e verificação reforçada de identidades e localizações. Também é conveniente rever políticas sobre VPNs e nodos de saída, bem como desenvolver capacidades para detectar sinais de IA em imagens e textos que acompanham candidaturas.
Em última análise, as sanções anunciadas pelo Tesouro buscam cortar o fluxo financeiro e isolar os facilitadores que permitem este esquema. Mas a lição mais ampla para empresas e responsáveis pela segurança é que as fronteiras tradicionais entre fraude, espionagem económica e ciberdelinquência se tornaram turva: hoje, uma vaga no LinkedIn pode ser a porta de entrada para uma rede de extração de propriedade intelectual e um circuito de financiamento ilegal com consequências geopolíticas.
Vigilância, controlos reforçados e uma compreensão actualizada do papel da IA na fraude laboral são chaves Para reduzir a exposição. Tanto os organismos públicos como a indústria privada partilham a responsabilidade de detectar estas técnicas e de tomar medidas que impeçam os empregos remotos de se tornarem sistemas de pagamento encobertos para regimes sancionados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...