Rede de espiões norte-coreanos usa deepfakes e “fazendas de laptops” para infiltrar empresas globais

O que está acontecendo

Uma operação coordenada por agentes da Coreia do Norte vem, desde 2017, infiltrando especialistas falsos em tecnologia da informação em companhias de vários países. De acordo com dados compilados por empresas de cibersegurança e por órgãos de investigação, mais de 300 organizações foram enganadas, incluindo corporações listadas na Fortune 500. Os infiltrados assumem funções de desenvolvedores, designers e profissionais de TI, obtêm acesso a sistemas internos e redirecionam salários para financiar o regime norte-coreano.

Quem são os operadores e como são identificados

Embora órgãos e fornecedores usem rótulos diferentes para designar a mesma atividade – WageMole (ESET), UNC5267 (Google) e Jasper Sleet (Microsoft) – todos descrevem o mesmo fenômeno: cidadãos norte-coreanos disfarçados de trabalhadores remotos ocidentais. O FBI acompanha o grupo desde abril de 2017 e confirma que a estratégia combina engenharia social, roubo de identidade e uso de tecnologias de ponta para burlar processos de verificação de antecedentes.

Como o disfarce é construído

A criação de perfis convincentes ocorre em duas frentes.

Identidades sintéticas são produzidas do zero, com nomes fictícios, endereços virtuais e histórico profissional inteiramente inventado. Esses perfis incluem presença em redes profissionais como LinkedIn, GitHub e Stack Overflow, abastecidas com repositórios de código e depoimentos forjados.

Paralelamente, o grupo mantém a operação denominada DeceptiveDevelopment. Nessa vertente, publicam vagas falsas para atrair desenvolvedores reais em busca de emprego. Quem se candidata recebe um “teste técnico” que, na verdade, contém malware trojanizado. Quando o arquivo é executado, o código malicioso coleta credenciais, histórico de navegação e detalhes de contato. Com esses dados, os agentes clonam a identidade do profissional autêntico, criando perfis de aparência legítima, enriquecidos com projetos que pertencem à vítima.

Deepfakes e a fase de entrevista

Uma vez armado o perfil, chega o momento crítico: a entrevista por vídeo. Os operadores recorrem a software de troca de rosto e modulação de voz para produzir deepfakes em tempo real. O recrutador vê um candidato que age, fala e reage como um profissional genuíno, enquanto o verdadeiro operador permanece fora de cena.

A precisão dessa tecnologia dificulta a detecção. Expressões faciais são sincronizadas à fala; a entonação é ajustada ao idioma e ao sotaque esperado. Recrutadores, treinados para avaliar competências e adequação cultural, raramente dispõem de ferramentas que sinalizem uma manipulação tão sofisticada.

Contratação e logística de equipamentos

Se o candidato falso vence todas as etapas, recebe o contrato de trabalho remoto e, com ele, um laptop corporativo configurado pela empresa contratante. Neste ponto entram em cena os facilitadores, cúmplices que residem no país-alvo. Eles:

• Recebem o notebook no endereço informado;
• Providenciam contas bancárias locais e chips de celular;
• Conectam o dispositivo a uma laptop farm, ambiente que reúne dezenas de computadores corporativos em funcionamento contínuo.

Das fazendas, localizadas em território ocidental, os operadores norte-coreanos acessam os equipamentos usando três camadas de ofuscação:

VPN (Virtual Private Network) – oculta o verdadeiro IP e faz o tráfego parecer originado de cidade próxima ao endereço cadastrado;
Proxy – adiciona um ponto intermediário extra, complicando o rastreamento;
RMM (Remote Monitoring and Management) – software legítimo usado por equipes de TI, instalado logo nas primeiras horas para permitir controle total do laptop à distância.

Escala do problema em números

Relatórios de segurança mostram que mais de 300 organizações foram comprometidas entre 2020 e 2022. Um indiciamento nos Estados Unidos demonstrou que dois cidadãos norte-coreanos e três facilitadores obtiveram US$ 860 mil em salários de apenas 10 das 60 empresas em que se infiltraram.

O incidente mais emblemático ocorreu em julho de 2024, quando a KnowBe4, empresa especializada justamente em conscientização de segurança, contratou um desenvolvedor que superou quatro entrevistas por vídeo e todas as verificações formais. Dias depois, a equipe de TI constatou a transferência de arquivos não autorizados e a instalação de programas alheios às políticas internas, expondo a fraude.

Expansão geográfica da ameaça

Originalmente identificada em companhias norte-americanas, a campanha ganhou alcance internacional. Pesquisadores observam aumento de casos na França, Polônia e Ucrânia, enquanto o Google emitiu alerta específico para o Reino Unido. A Microsoft, por sua vez, desativou 3 000 contas de e-mail criadas para sustentar a operação. Com isso, o que começou como problema regional tornou-se ameaça global.

Motivações dos infiltrados

Dois objetivos norteiam a operação.

Financiamento direto – Salários pagos a profissionais remotos são parcialmente desviados ao governo da Coreia do Norte, ajudando a contornar sanções econômicas e a sustentar programas estratégicos do país.

Espionagem corporativa – Ao obter acesso interno, os agentes conseguem copiar código-fonte, informações de clientes, roteiros de produto e dados sensíveis. Frequentemente, implantam backdoors que permanecem ativos mesmo após eventual demissão, abrindo caminho para roubos futuros ou para a venda de acessos a terceiros. Há ainda o risco de esses acessos evoluírem para incidentes de ransomware.

Consequências para as empresas

Os prejuízos não se limitam aos valores pagos em salários. Há o dano reputacional quando a infiltração se torna pública, além de eventual violação de sanções internacionais, que pode resultar em penalidades legais severas. A perda de propriedade intelectual, por si só, compromete a vantagem competitiva e afeta parcerias estratégicas.

Sinais de alerta após a contratação

O período imediatamente posterior à admissão é crítico para identificar comportamentos anômalos.

Instalação precoce de RMM – Funcionários legítimos costumam demorar alguns dias para configurar ambiente de trabalho. A instalação de software de acesso remoto nas primeiras horas deve ser investigada.

Horários de atividade incompatíveis – Contribuições recorrentes durante madrugada no fuso horário declarado indicam controle remoto de outro continente.

Conexões de IP suspeito – Autenticações originadas de endereços associados à Ásia ou a países sem relação com o local de trabalho sugerem uso de VPN mal configurada.

Downloads e cópia de volumes incomuns de dados – Acesso a repositórios fora da área de responsabilidade do empregado, ou transferência maciça de arquivos, pode sinalizar exfiltração de informações.

Estratégias de mitigação recomendadas

Especialistas orientam que as organizações reforcem validações de identidade durante o onboarding, monitorem endpoints para instalação de RMM de terceiros e adotem sistemas de detecção de deepfake em entrevistas virtuais. Além disso, políticas de acesso baseado em privilégio mínimo e vigilância contínua de logs de autenticação ajudam a identificar divergências entre localização declarada e endereço IP real.

Rever processos de verificação de antecedentes, exigir prova de residência física e realizar entrevistas presenciais para cargos críticos complementam as medidas de contenção, sobretudo em setores que lidam com propriedade intelectual sensível.