Imagine que a sua empresa está contratando desenvolvedores de software, engenheiros de dados e de cibersegurança, encontra um candidato incrível e dali a um ano descobre que ele simplesmente não existe. Foi um espião norte-coreano que usou IA para criar uma nova identidade e se infiltrar na companhia e roubar dados. Não é roteiro de série, nem invenção: é uma estratégia do regime de Kim Jong-un para financiar suas iniciativas.
A nova frente de guerra digital se expandiu rapidamente após a pandemia para explorar brechas no modelo de trabalho remoto e no uso indiscriminado de IA Generativa. Como mostram reportagens do Wall Street Journal e da Wired, cidadãos norte-coreanos estão se infiltrando em empresas de tecnologia no Ocidente usando identidades falsas, inteligência artificial e uma rede internacional de facilitadores.
O novo rosto do cibercrime: salários, laptops e deepfakes
A estratégia é engenhosa: um cidadão norte-coreano assume uma identidade falsa (frequentemente de um norte-americano), usa IA para criar uma presença digital convincente – incluindo fotos geradas por IA e currículos elaborados com ajuda de ferramentas como ChatGPT – e se candidata a vagas de TI em empresas ocidentais.
Após ser contratado, ele solicita que o computador corporativo seja enviado a um endereço diferente do registrado. É aí que entram os “laptop farms”: casas nos EUA operadas por cúmplices locais que recebem os equipamentos, instalam softwares de acesso remoto (como Anydesk ou IP-KVM), e permitem que os norte-coreanos se conectem a partir de qualquer lugar do mundo – como se estivessem nos EUA.
A tecnologia que ajuda… e que engana
Os golpistas têm um arsenal tecnológico sofisticado:
Fotos de perfil geradas por IA, criadas a partir de imagens de bancos de dados públicos;
Deepfakes para entrevistas em vídeo, com sincronização labial e gestos que imitam humanos reais;
Ferramentas de GenAI para responder entrevistas técnicas em tempo real e passar por testes de programação;
Cartões de identidade projetados em chroma key verde, com reflexo simulado e movimentos realistas para parecerem legítimos em videochamadas.
O estrago é real. Segundo o Google Threat Intelligence Group (GTIG) e a Mandiant, centenas de empresas da Fortune 500 já foram infiltradas por trabalhadores falsos norte-coreanos – alguns deles com acesso privilegiado a dados sensíveis.
Do salário à extorsão: como o esquema evoluiu
Inicialmente, o objetivo era apenas arrecadar divisas para o regime. Um time de 1.000 trabalhadores recebendo salários de seis dígitos pode gerar mais de US$ 100 milhões anuais para o governo de Pyongyang, segundo analistas da Mandiant.
Mas o modelo evoluiu. Agora, além dos salários, os agentes usam seu acesso para:
Roubar propriedade intelectual;
Instalar malwares silenciosos;
Coletar dados internos para vender ou extorquir empresas;
Pedir resgates para não publicar dados após serem demitidos ou descobertos.
A mudança de postura foi observada especialmente após 2023, quando empresas começaram a descobrir e demitir esses agentes com mais frequência.
Uma rede global e bem treinada
A operação é coordenada por departamentos de Inteligência da Coreia do Norte, como o Reconnaissance General Bureau. Os trabalhadores recebem formação técnica e em línguas estrangeiras em instituições como a Universidade de Tecnologia Kim Chaek – considerada o “MIT norte-coreano”.
Os mais talentosos são enviados para bases na China, Rússia e Paquistão, de onde operam com rotinas rígidas: até 14 horas de trabalho diárias, sob vigilância constante e com familiares como “garantia de lealdade”. Um único grupo pode gerar até US$ 3 milhões por ano, segundo dados da Inteligência sul-coreana.
E as empresas? É claro que nenhuma companhia que se preze quer admitir que contratou um funcionário falso e ainda teve de pagar resgate para não ter dados vazados. Mas há fatos e indicações: a Cinder detectou que 80% das candidaturas de um determinado site vinham de perfis falsos com sinais de ligação à Coreia do Norte.
Como evitar que sua empresa seja a próxima?
Em um post no blog do Google Cloud, os especialistas Jamie Collier e Michael Barnhart explicaram o esquema e deram recomendações para que as empresas possam se proteger.
Durante a contratação
Exigir entrevistas por vídeo com verificações físicas de documentos;
Evitar aceitar endereços de envio de equipamentos diferentes dos declarados;
Confirmar se o laptop corporativo foi geolocalizado no país correto.
Na operação diária
Bloquear uso de softwares de administração remota não autorizados;
Monitorar uso de VPNs, ferramentas de “mouse jiggling”, e comportamentos fora do padrão;
Solicitar número de série do equipamento durante o onboarding.
Na cultura e na governança
Criar um programa robusto de risco interno, com políticas claras e envolvimento do RH, jurídico e segurança;
Realizar testes de penetração focados em ameaças internas;
Investir em análise comportamental e monitoramento contínuo de usuários, principalmente novos contratados.
A recomendação dos especialistas é clara: se sua empresa não detectou esse problema, talvez não esteja olhando direito.
Para continuar navegando como visitante, vá por aqui.
Nenhum cadastro foi encontrado. Verifique os dados inseridos!
Cadastre-se grátis, leia até 5 conteúdos por mês,
e receba nossa newsletter diária.
Já recebe a newsletter? Ative seu acesso
Pronto! Só falta um passo.
Clique no link do e-mail que enviamos para retornar aqui e começar a ler seus 5 conteúdos exclusivos.
Se você já recebe nossas newsletters,
preencha seu e-mail que lhe mandaremos instruções
VoltarOpa! Parece que este e-mail não está cadastrado ainda. Tente novamente ou, se quiser fazer um novo cadastro, clique aqui.
Este e-mail que escolheu já está cadastrado.
Se ele é seu e você já tem uma senha, faça login para prosseguir com a assinatura. Se não tiver ainda ativado seu acesso, clique aqui para criar sua senha, logar e continuar o processo de assinatura.
