Os jovens desenvolvedores estão tendo o melhor momento de suas vidas. Eles abrem garrafas de vinho espumante, jantam carnes nobres, jogam futebol juntos e relaxam em uma luxuosa piscina privada, todas as suas atividades capturadas em fotos que foram posteriormente expostas online. Em uma imagem, um homem posa em frente a um recorte de papel em tamanho real dos Minions. Mas, apesar de sua exuberância, esses não são empreendedores de sucesso do Vale do Silício; são trabalhadores de TI do Reino Hermético da Coreia do Norte, que infiltram empresas ocidentais e enviam seus salários de volta para casa.
Dois membros de um grupo de desenvolvedores norte-coreanos, que supostamente operavam no país do sudeste asiático Laos antes de serem realocados para a Rússia no início de 2024, estão sendo identificados hoje por pesquisadores da empresa de cibersegurança DTEX. Os homens, que a DTEX acredita terem usado as personas ‘Naoki Murano’ e ‘Jenson Collins’, são acusados de estarem envolvidos na arrecadação de dinheiro para o brutal regime norte-coreano como parte da epidemia generalizada de trabalhadores de TI, com Murano supostamente ligado a um roubo de $6 milhões na empresa de criptomoedas DeltaPrime no ano passado.
Durante anos, a Coreia do Norte de Kim Jong-un tem representado uma das ameaças cibernéticas mais sofisticadas e perigosas para países e empresas ocidentais, com seus hackers roubando a propriedade intelectual necessária para desenvolver sua própria tecnologia, além de saquear bilhões em criptomoedas para evitar sanções e criar armas nucleares. Em fevereiro, o FBI anunciou que a Coreia do Norte realizou o maior roubo de criptomoedas da história, roubando $1,5 bilhão da exchange de criptomoedas Bybit. Junto com seus hackers habilidosos, os trabalhadores de TI de Pyongyang, que muitas vezes estão baseados na China ou na Rússia, enganaram empresas para contratá-los como trabalhadores remotos e se tornaram uma crescente ameaça.
“O que estamos fazendo não está funcionando, e se está funcionando, não está funcionando rápido o suficiente”, diz Michael ‘Barni’ Barnhart, um dos principais pesquisadores de cibersegurança sobre a Coreia do Norte e investigador principal da DTEX. Além de identificar Murano e Collins, a DTEX, em um relatório detalhado sobre a atividade cibernética norte-coreana, também está publicando mais de 1.000 endereços de e-mail que afirma ter sido identificados como ligados à atividade dos trabalhadores de TI norte-coreanos. A medida é uma das maiores divulgações de atividade de trabalhadores de TI norte-coreanos até agora.
As amplas operações cibernéticas da Coreia do Norte não podem ser comparadas com as de outras nações hostis, como Rússia e China, explica Barnhart no relatório da DTEX, já que Pyongyang opera como uma “sindicato do crime sancionado pelo estado” em vez de operações militares ou de inteligência mais tradicionais. Tudo é movido pelo financiamento do regime, desenvolvimento de armamentos e coleta de informações, diz Barnhart. “Tudo está interligado de alguma forma.”
Os Desajustados Entram
Por volta de 2022 e 2023, a DTEX afirma que tanto Naoki Murano quanto Jenson Collins — cujos nomes reais não são conhecidos — estavam baseados no Laos e também viajaram entre Vladivostok, na Rússia. A dupla apareceu entre um grupo mais amplo de possíveis norte-coreanos no Laos, e um cache de suas fotos foi exposto pela primeira vez em uma pasta pública do Dropbox. As fotos foram descobertas por um coletivo de pesquisadores norte-coreanos que costumam colaborar com Barnhart e se autodenominam uma aliança de “Desajustados”. Nas últimas semanas, eles postaram várias imagens de supostos trabalhadores de TI norte-coreanos online.
Os trabalhadores de TI da Coreia do Norte são prolíficos em suas atividades, muitas vezes tentando infiltrar várias empresas simultaneamente usando identidades roubadas ou criando falsas personas para parecerem legítimos. Alguns usam plataformas de freelance; outros tentam recrutar facilitadores internacionais para administrar fazendas de laptops. Embora suas personas online possam ser falsas, o país — onde milhões não têm direitos humanos básicos ou acesso à internet — direciona crianças talentosas para seu sistema educacional, onde podem se tornar desenvolvedores e hackers habilidosos. Isso significa que muitos dos trabalhadores de TI e hackers provavelmente se conhecem, potencialmente desde a infância. Apesar de serem tecnicamente capazes, eles frequentemente deixam um rastro de migalhas digitais em seu caminho.
Murano foi associado pela primeira vez a operações norte-coreanas publicamente pelo investigador de criptomoedas ZachXBT, que publicou os nomes, detalhes de carteiras de criptomoedas e endereços de e-mail de mais de 20 trabalhadores de TI norte-coreanos no ano passado. Murano foi então vinculado ao roubo da DeltaPrime em reportagens da Coinbase em outubro. Membros do coletivo Misfits compartilharam fotos de Murano parecendo satisfeito enquanto comia carne e uma imagem de um suposto passaporte japonês.
Enquanto isso, Collins, que a DTEX incluiu em seu relatório e que foi destacado em fotos de piscina incluídas na pasta do Dropbox, estava mais comumente envolvido em trabalhos de TI que geraram receita para Pyongyang, diz narcass3, um membro dos Misfits que pediu para ser identificado pelo seu nome online. “Ele parece ter trabalhado principalmente em projetos de criptomoeda/blockchain, incluindo um que parece ser totalmente apoiado pela DPRK ou composto principalmente por trabalhadores de TI”, diz narcass3.
Evan Gordenker, um gerente sênior de consultoria da equipe de inteligência de ameaças da Palo Alto Networks, diz que está familiarizado com as duas personas identificadas pela DTEX e outros meios de comunicação e o grupo de trabalhadores norte-coreanos que estava baseado no Laos. O grupo estava enviando muitas candidaturas de emprego, criando falsos personas e procurando potenciais cúmplices, diz o pesquisador. “Parece-me que eles também desfrutavam de um nível de autonomia que não costuma ser visto em alguns dos grupos [de trabalhadores de TI]”, diz Gordenker. “Não sei se isso se deve ao fato de gerarem mais dinheiro e ganharem mais privilégios ou apenas porque tiveram um líder de grupo que operava dessa forma.”
Um endereço de e-mail em nome de Murano retornou ao ser contatado pela WIRED. Enquanto isso, um endereço de e-mail em nome de Collins não respondeu a um pedido de comentário.
Escondendo-se à Vista
Os trabalhadores de TI de Pyongyang operam há quase uma década, mas a atenção sobre suas atividades se intensificou nos últimos 12 meses à medida que empresas da Fortune 500 perceberam que contrataram inadvertidamente norte-coreanos. Equipes de hackers e trabalhadores de TI são estabelecidas para cumprir “cotas de ganhos” pelo regime de Kim Jong-un, diz Barnhart, com trabalhadores de TI operando de várias organizações militares e de inteligência norte-coreanas. Um trabalhador de TI que ganhou $5.000 por mês poderia ficar com $200 disso, afirma o investigador.
Trabalhadores de TI maliciosos, que podem estar propensos a roubar além de ganhar dinheiro, fazem parte da organização de IA recentemente revelada da Coreia do Norte chamada Centro de Pesquisa 227, que é parte da principal agência de inteligência, o Escritório Geral de Reconhecimento, enquanto outros fazem parte de equipes do Ministério da Defesa Nacional, de acordo com um gráfico de organizações cibernéticas publicado por Barnhart no relatório da DTEX. Trabalhadores de TI que tentam exclusivamente gerar receita de seus empregos podem fazer parte do Departamento da Indústria de Munições, diz a pesquisa.
O aumento relativamente recente na fiscalização em torno dos trabalhadores de TI ocorreu em meio a uma crescente repressão do governo dos EUA: em maio de 2023, sancionou a empresa norte-coreana Chinyong Information Technology Cooperation Company por empregar trabalhadores de TI no Laos e na Rússia, enquanto no início deste ano, duas empresas de fachada norte-coreanas e seus chefes baseados na China e no Laos foram sancionados pelo Departamento do Tesouro dos EUA. O Tesouro disse que os grupos de trabalhadores de TI ganham “centenas de milhões de dólares” para o regime, e milhares de trabalhadores de TI são enviados ao redor do mundo.
“Os trabalhadores de TI jogam o jogo dos números e estão se candidatando a papéis remotos em volume”, diz Rafe Pilling, diretor de inteligência de ameaças da unidade de contramedidas da Sophos. Isso significa que eles costumam cometer erros. “Eles parecem operar em um ritmo tal que podem cometer erros, como deixar repositórios do Github de currículos e ferramentas acessíveis ao público, deixar comentários em códigos e scripts, cometer erros em currículos que os tornam mais fáceis de identificar como falsos e deslizes na câmera durante entrevistas que podem revelar subterfúgio.”
Além de identificar Murano e Collins, a DTEX também publicou mais de 1.000 endereços de e-mail supostamente ligados a operações de trabalhadores de TI norte-coreanos que foram coletados por meio de investigações e colaboração com pesquisadores. Cada endereço de e-mail foi fornecido por múltiplas fontes, diz Barnhart. Uma análise da WIRED de quase duas dezenas de e-mails, usando ferramentas de inteligência de código aberto e um banco de dados de material vazado online, mostra que poucos deles parecem ter sinais de comportamento online autêntico; alguns endereços de e-mail estão ligados a ferramentas de desenvolvedores online ou sites de freelancers, enquanto outros têm muito pouco presença online.
“Há uma boa quantidade de reutilização de personas e algumas delas duram anos e anos”, diz Gordenker da Unit 42. Outros podem ser usados apenas uma vez, diz Gordenker, mas os golpistas podem rapidamente criar novas personas, se necessário. “Você verá uma persona que funciona, por exemplo, que às vezes pode ter quatro, cinco ou seis empregos diferentes ao longo da vida útil.”
À medida que mais trabalhadores de TI são identificados, eles estão cada vez mais adotando suas táticas para tentar se tornar mais difíceis de detectar. Vários pesquisadores de cibersegurança descobriram que norte-coreanos estão usando software de alteração facial durante entrevistas em vídeo ou assistentes de IA para ajudar a responder perguntas em tempo real.
Mudando de Rosto
O trabalhador de TI está no meio da sala apertada e posa para sua foto. Um relógio na parede marca 11:30. Ao fundo, três outros homens vestidos com uniformes militares se inclinam sobre computadores. Um varal aparece na parte de trás da sala na foto, que foi publicada pela primeira vez pela DTEX. “Há muito a se analisar nessa imagem”, diz Barnhart.
Barnhart explica que, embora muito seja desconhecido sobre a foto, ela revela alguns detalhes sobre como o grupo de trabalhadores de TI opera. Um dos homens, no canto direito da fotografia, parece ter mensagens do WhatsApp abertas na tela de seu computador, com várias conversas em andamento. Anexada à parede acima dele está uma câmera de vigilância.
“O MSS os observa para que não se tornem desertores”, diz Barnhart, referindo-se à agência de contrainteligência e polícia secreta da Coreia do Norte, o Ministério da Segurança do Estado. Como os homens estão baseados em um pequeno espaço de trabalho, eles provavelmente estão em uma posição mais baixa na hierarquia dos trabalhadores de TI e, como seus compatriotas, também enfrentam vigilância digital quando usam seus computadores, afirma. Barnhart diz que o software que ele viu monitora o que os trabalhadores de TI digitam e enviam em seus dispositivos. “Eles odeiam isso”, diz ele. “Isso envia sinalizadores a servidores externos sempre que imagens sexuais ou conteúdo sexual são discutidos ou se Kim Jong-un é mencionado.” Outros pesquisadores notaram trabalhadores de TI suspeitos encerrando entrevistas de emprego quando perguntados uma variação da questão: “Quão gordo é Kim Jong-un?”
Embora não esteja claro onde os homens na sala possam estar fisicamente localizados, há sinais de que o retrato fotográfico do sujeito central foi usado para criar uma falsa persona. Imagens subsequentes obtidas por Barnhart mostram o homem editado em diferentes roupas e transformado em uma ilustração em estilo de cartoon de seu rosto.
“Isso mostra que ele está mexendo na linha do cabelo. Mostra que ele está alterando características, mostra que ele está basicamente preparando seus perfis”, diz Barnhart. Uma dessas fotos — dele editado em uma jaqueta de couro — aparece no site de “Benjamin Martin”, um desenvolvedor autodenominado de web3 e full-stack.
Além de parecer ser o norte-coreano da foto do trabalhador de TI, duas das empresas listadas no currículo online de Martin dizem à WIRED que não ouviram falar da persona, quanto mais tê-la empregado. Uma das empresas disse que não estava totalmente incorporada durante a maior parte do tempo em que a persona Martin listou que estava trabalhando lá. Martin não respondeu a mensagens enviadas para o e-mail listado na página do desenvolvedor, enquanto uma conta do Telegram vinculada a um número de telefone no site de Martin respondeu “sim” em uma troca limitada em chinês quando perguntado se eram um trabalhador de TI norte-coreano.
Em última análise, Barnhart diz que as pessoas precisam entender como os hackers e trabalhadores de TI norte-coreanos estão operando, com fluidez entre grupos e abordagens, antes que uma interrupção significativa de seus esforços possa ocorrer. “Precisamos nos reorientar, precisamos reformular”, diz Barnhart. “A Coreia do Norte já se mudou para seu próximo ponto e agora eles estão subcontractando e criando outra camada de ofuscação também.”