Codificadores e desenvolvedores norte-coreanos talentosos, há anos, têm sido contratados para trabalhos remotos em empresas de tecnologia ocidentais. Milhares desses chamados trabalhadores de TI geraram bilhões para o regime autoritário da Coreia do Norte, desenvolvendo aplicativos, trabalhando em projetos de criptomoedas e infiltrando empresas da Fortune 500—quando são pagos, enviam seus ganhos para casa. Mas a escala e o escopo desses esquemas fraudulentos de emprego provavelmente se estendem além da compreensão da maioria.
Uma nova análise de contas online expostas e arquivos vinculados a trabalhadores digitais suspeitos da República Popular Democrática da Coreia (DPRK) mostra que pelo menos um grupo tem trabalhado em um campo muito diferente: arquitetura e engenharia civil. Nos últimos anos, o grupo de trabalhadores tem se disfarçado como engenheiros estruturais e arquitetos freelancers, de acordo com um relatório compartilhado com a WIRED pela empresa de cibersegurança Kela, que investigou uma rede que liga à Coreia do Norte.
Arquivos vinculados aos alegados operativos norte-coreanos mostram desenhos arquitetônicos em 2D e alguns arquivos CAD 3D para propriedades nos Estados Unidos, dizem os pesquisadores da Kela. Além dos planos, os golpistas também foram vistos anunciando uma gama de serviços arquitetônicos e usando, ou criando, selos arquitetônicos, que podem atuar como certificação legal de que os desenhos seguem as normas de construção locais.
“Esses operativos estão ativos não apenas em tecnologia e cibersegurança, mas também em design industrial, arquitetura e design de interiores, acessando infraestrutura sensível e projetos de clientes sob identidades fabricadas,” escreve a Kela em um post de blog. As Nações Unidas estimam que milhares de trabalhadores de TI levantam entre 250 milhões e 600 milhões de dólares para a Coreia do Norte a cada ano, com o dinheiro sendo usado para apoiar os programas de armas nucleares do país e esforços de evasão de sanções.
Os pesquisadores de segurança da Kela focaram em uma conta do GitHub vinculada a uma rede de TI suspeita da Coreia do Norte, antes de analisar outras contas e perfis. O perfil do GitHub, além de algumas personas conectadas e alguns trabalhos arquitetônicos, foi identificado pela primeira vez por pesquisadores da DPRK no X no início deste ano. O GitHub, que é de propriedade da Microsoft, não respondeu ao pedido da WIRED por comentários sobre a conta ou os supostos vínculos com a Coreia do Norte.
A conta do GitHub listava publicamente uma série de arquivos do Google Drive que podiam ser baixados por qualquer um e continham um tesouro de informações ligadas aos potenciais golpistas. Os arquivos incluíam detalhes de trabalhos sendo perseguidos pelas contas vinculadas à DPRK, currículos duplicados e falsos, imagens que poderiam ser usadas como fotos de perfil e detalhes das personas usadas para encontrar trabalho.
“Havia tantos e-mails, dados e perfis que vimos,” diz um pesquisador da Kela que pediu para não ser identificado devido à sensibilidade das descobertas. “Era realmente massivo,” acrescenta, dizendo que algumas planilhas pareciam mostrar centenas de endereços de e-mail que poderiam ter sido usados pelos golpistas. (O Google não respondeu a um pedido de comentário no momento da redação).
Arquivos publicamente disponíveis revisados pela WIRED mostram a amplitude—e produtividade—dos supostos golpistas da DPRK e os vínculos com trabalhos arquitetônicos potenciais. Na maioria dos casos, os golpistas parecem ter usado sites de trabalho freelance para solicitar empregos potenciais. Vários arquivos de texto dentro dos documentos—que ficam ao lado de currículos—anunciam os serviços arquitetônicos potenciais que as pessoas poderiam comprar, com documentos afirmando que os arquitetos estão licenciados em vários (ou às vezes em todos) os estados dos EUA. “Podemos fornecer todos os documentos de construção (plano de site, relatório de análise estrutural, selo) e podemos ajudá-lo a obter permissão para os documentos de construção,” diz um arquivo de texto. Alguns arquivos parecem mostrar correspondência com pessoas que potencialmente buscavam o trabalho.
Arquivos vistos pela WIRED também incluem plantas e designs para um deck, uma casa de fazenda, uma casa na árvore personalizada, piscinas, e mais. Um arquivo de texto parece incluir um pedido perguntando se os planos existentes para um pátio de restaurante poderiam ser redesenhados. A WIRED não conseguiu verificar imediatamente se esses planos haviam sido fisicamente elaborados pelas contas alegadas da Coreia do Norte ou se algum trabalho foi concluído. No entanto, relatórios anteriores e outros pesquisadores indicam que isso poderia ser possível.
Os pesquisadores da Kela dizem que relataram suas descobertas ao FBI e a outros órgãos de aplicação da lei. O FBI não respondeu imediatamente ao pedido da WIRED por comentários.
Em julho, a emissora pública canadense CBC informou que o selo de um arquiteto em Toronto havia provavelmente sido alterado e impersonado por trabalhadores de TI norte-coreanos e os detalhes estavam incluídos em planos que não foram trabalhados por aquele arquiteto. O arquiteto disse à CBC que a assinatura usada não correspondia à sua própria e o selo continha diferenças em relação à sua versão oficial. Um documento visto pela WIRED no cache de arquivos listava sites para gerar selos de engenheiros e arquitetos.
“Os planos estão sendo usados e estão sendo construídos,” diz Michael “Barni” Barnhart, uma autoridade proeminente em hacking norte-coreano e ameaças cibernéticas, que trabalha para a empresa de segurança de ameaças internas DTEX. Juntamente com outros pesquisadores da DPRK, que se chamam de aliança “Misfit”, Barnhart viu esse grupo de trabalhadores realizando trabalhos arquitetônicos e diz que outros esforços semelhantes foram detectados. “Eles farão as renderizações CAD, farão os desenhos,” diz ele. “Não é como se fosse um hipotético—esses itens físicos existem por aí.”
Barnhart—que anteriormente encontrou animadores norte-coreanos aparentemente trabalhando em shows da Amazon e Max—diz que também viu potenciais empresas de fachada sendo criadas para ajudar a conduzir as operações e fornecer uma aparência de legitimidade. As descobertas levantam questões sobre a qualidade do trabalho estrutural e preocupações sobre a segurança, se estruturas forem criadas no mundo físico. “Em algumas de nossas investigações, esses planos e esses produtos que eles estão fazendo para essas remodelações e renderizações, não estão recebendo boas avaliações,” diz Barnhart. “Temos indicações de que também estão sendo contratados para fazer infraestrutura crítica.”
Uma gravação de tela de 24 minutos vista pela WIRED mostra como a operação freelance poderia funcionar. No vídeo, uma pessoa se inscreve em um site de trabalho freelance e configura um novo perfil onde escreve que é um “engenheiro estrutural/arquiteto licenciado nos EUA.” Eles escolhem uma imagem de perfil de uma pasta de arquivos potencialmente baixados, traduzem texto entre inglês e coreano, e acessam um site gerador de números de Seguro Social durante o processo de inscrição.
Quando sua conta é criada, o vídeo mostra que eles começam a enviar mensagens online solicitando trabalho, com uma mensagem dizendo: “Posso fornecer a você [sic] conjunto de planos de desenho de permissão para o design de sua casa residencial em poucos dias.”
Outras gravações de tela mostram os trabalhadores tendo conversas com potenciais clientes, e em pelo menos uma instância há uma gravação de uma chamada online discutindo trabalho possível. O pesquisador da Kela, que pediu para não ser identificado por razões de segurança, diz que parecia que alguns clientes potenciais retornavam aos golpistas após provavelmente terem trabalho concluído. Os pesquisadores dizem que alguns tipos de trabalho pareciam ter preços de algumas centenas de dólares até cerca de 1.000 dólares por trabalho.
“Esta é uma nação oportunista,” diz Barnhart da DTEX. Embora muitas empresas tenham começado a perceber que os trabalhadores de TI da Coreia do Norte frequentemente estão se candidatando a empregos remotos de tecnologia, usando identidades falsas, deepfakes em chamadas de vídeo, e trabalhadores locais para operar suas operações, eles estão constantemente mudando suas abordagens. Barnhart diz que parece que o trabalho arquitetônico tem sido bem-sucedido para os alegados trabalhadores da DPRK e que evidências mostram que o programa de trabalhadores de TI pode ser mais sutil do que tentar ser contratado em empresas.
“Eles estão se movendo para lugares onde não estamos olhando,” diz Barnhart. “Eles também estão fazendo coisas como call centers. Eles estão fazendo RH e folha de pagamento e contabilidade. Coisas que são apenas funções remotas e não necessariamente contratações remotas.