Hackers Norte-Coreanos Alvo de Cripto com Empresas Falsas e Ofertas de Trabalho

Pesquisadores da empresa de cibersegurança Silent Push descobriram uma campanha sofisticada do grupo de ameaça persistente avançada (APT) norte-coreano conhecido como Contagious Interview (também conhecido como “Famous Chollima”), um subgrupo dentro do notório Lazarus Group.

Esta operação envolveu a criação de empresas falsas de criptomoeda nos EUA e o uso de táticas enganosas de entrevistas de emprego para distribuir malware e infiltrar organizações.

Principais Descobertas

De acordo com a Silent Push, os hackers estabeleceram três empresas de criptomoeda de fachada — BlockNovas LLC no Novo México, Angeloper Agency e SoftGlide LLC em Nova York, usando identidades e endereços falsos. A Angeloper Agency permanece não registrada nos EUA.

“Nesta nova campanha, o grupo de atores de ameaça está usando três empresas de fachada na indústria de consultoria de criptomoedas—BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com) e SoftGlide LLC (softglide[.]co)—para espalhar malware através de ‘isca de entrevistas de emprego’,” disse a Silent Push em um post detalhado no blog.

Essas entidades, que se passam por empresas legítimas de consultoria de criptomoedas, foram criadas para atrair candidatos a empregos em criptomoedas desavisados a baixar malware, comprometendo carteiras de cripto e roubando credenciais.

Além de empresas falsas, os candidatos a emprego foram alvos através de anúncios de emprego falsificados e perfis no estilo LinkedIn, durante os quais foram enganados a baixar arquivos carregados de malware disfarçados como materiais de candidatura ou documentos de integração.

As três cepas de malware identificadas nesta campanha são BeaverTail, InvisibleFerret e OtterCookie, que estavam anteriormente ligadas a unidades cibernéticas norte-coreanas. Esses programas poderiam roubar dados, fornecer acesso remoto a sistemas infectados e servir como pontos de entrada para ataques subsequentes usando spyware ou ransomware adicionais.

De acordo com a Silent Push, a Blocknovas, a mais ativa das três empresas de fachada, foi apreendida pelo FBI (Federal Bureau of Investigation) dos EUA em 23 de abril de 2025. O aviso postado no site informa que o site foi retirado do ar “como parte de uma ação de aplicação da lei contra atores cibernéticos norte-coreanos que utilizaram este domínio para enganar indivíduos com anúncios de emprego falsos e distribuir malware.”

Além de usar serviços como Astrill VPN e proxies residenciais para ofuscar sua infraestrutura e atividades, a campanha Contagious Interview também empregou ferramentas de IA, como “Remaker AI” (remaker[.]ai), para criar perfis convincentes de funcionários falsos para as três empresas de criptomoeda de fachada, a fim de aumentar a credibilidade dessas empresas fraudulentas.

Por fim, como parte dos ataques cibernéticos, a campanha utilizou intensamente plataformas como GitHub, sites de listagem de empregos e sites de freelancers para alcançar potenciais vítimas e distribuir software malicioso.

Implicações e Recomendações

À medida que as ameaças cibernéticas norte-coreanas continuam a evoluir, as organizações, particularmente no setor de criptomoedas, esta campanha destaca a necessidade de vigilância aumentada nas práticas de cibersegurança, especialmente no setor de criptomoedas e durante o processo de contratação.

Para se proteger contra esses ataques sofisticados, as organizações devem implementar processos de verificação rigorosos para candidatos a emprego, incluindo a realização de entrevistas presenciais ou por vídeo e verificações de antecedentes minuciosas, e educar os funcionários sobre os riscos de ofertas de emprego e entrevistas não solicitadas.

Para uma análise detalhada desta campanha, você pode conferir o relatório completo da Silent Push: Empresas de Fachada Contagious Interview.