Deepfakes, laptop farms e IA: o novo rosto do cibercrime global

Imagine que a sua empresa está contratando desenvolvedores de software, engenheiros de dados e de cibersegurança, encontra um candidato incrível e dali a um ano descobre que ele simplesmente não existe. Foi um espião norte-coreano que usou IA para criar uma nova identidade e se infiltrar na companhia e roubar dados. Não é roteiro de série, nem invenção: é uma estratégia do regime de Kim Jong-un para financiar suas iniciativas.

A nova frente de guerra digital se expandiu rapidamente após a pandemia para explorar brechas no modelo de trabalho remoto e no uso indiscriminado de IA Generativa. Como mostram reportagens do Wall Street Journal e da Wired, cidadãos norte-coreanos estão se infiltrando em empresas de tecnologia no Ocidente usando identidades falsas, inteligência artificial e uma rede internacional de facilitadores.  

O novo rosto do cibercrime: salários, laptops e deepfakes

A estratégia é engenhosa: um cidadão norte-coreano assume uma identidade falsa (frequentemente de um norte-americano), usa IA para criar uma presença digital convincente – incluindo fotos geradas por IA e currículos elaborados com ajuda de ferramentas como ChatGPT – e se candidata a vagas de TI em empresas ocidentais.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

Após ser contratado, ele solicita que o computador corporativo seja enviado a um endereço diferente do registrado. É aí que entram os “laptop farms”: casas nos EUA operadas por cúmplices locais que recebem os equipamentos, instalam softwares de acesso remoto (como Anydesk ou IP-KVM), e permitem que os norte-coreanos se conectem a partir de qualquer lugar do mundo – como se estivessem nos EUA.

A tecnologia que ajuda… e que engana

Os golpistas têm um arsenal tecnológico sofisticado:

• Fotos de perfil geradas por IA, criadas a partir de imagens de bancos de dados públicos;
• Deepfakes para entrevistas em vídeo, com sincronização labial e gestos que imitam humanos reais;
• Ferramentas de GenAI para responder entrevistas técnicas em tempo real e passar por testes de programação;
• Cartões de identidade projetados em chroma key verde, com reflexo simulado e movimentos realistas para parecerem legítimos em videochamadas.

O estrago é real. Segundo o Google Threat Intelligence Group (GTIG) e a Mandiant, centenas de empresas da Fortune 500 já foram infiltradas por trabalhadores falsos norte-coreanos – alguns deles com acesso privilegiado a dados sensíveis.

Do salário à extorsão: como o esquema evoluiu

Inicialmente, o objetivo era apenas arrecadar divisas para o regime. Um time de 1.000 trabalhadores recebendo salários de seis dígitos pode gerar mais de US$ 100 milhões anuais para o governo de Pyongyang, segundo analistas da Mandiant.

Mas o modelo evoluiu. Agora, além dos salários, os agentes usam seu acesso para:

• Roubar propriedade intelectual;
• Instalar malwares silenciosos;
• Coletar dados internos para vender ou extorquir empresas;
• Pedir resgates para não publicar dados após serem demitidos ou descobertos.

A mudança de postura foi observada especialmente após 2023, quando empresas começaram a descobrir e demitir esses agentes com mais frequência.

Uma rede global e bem treinada

A operação é coordenada por departamentos de Inteligência da Coreia do Norte, como o Reconnaissance General Bureau. Os trabalhadores recebem formação técnica e em línguas estrangeiras em instituições como a Universidade de Tecnologia Kim Chaek – considerada o “MIT norte-coreano”.

Os mais talentosos são enviados para bases na China, Rússia e Paquistão, de onde operam com rotinas rígidas: até 14 horas de trabalho diárias, sob vigilância constante e com familiares como “garantia de lealdade”. Um único grupo pode gerar até US$ 3 milhões por ano, segundo dados da Inteligência sul-coreana.

E as empresas? É claro que nenhuma companhia que se preze quer admitir que contratou um funcionário falso e ainda teve de pagar resgate para não ter dados vazados. Mas há fatos e indicações: a Cinder detectou que 80% das candidaturas de um determinado site vinham de perfis falsos com sinais de ligação à Coreia do Norte.

Como evitar que sua empresa seja a próxima?

Em um post no blog do Google Cloud, os especialistas Jamie Collier e Michael Barnhart explicaram o esquema e deram recomendações para que as empresas possam se proteger.

Durante a contratação

• Exigir entrevistas por vídeo com verificações físicas de documentos;
• Evitar aceitar endereços de envio de equipamentos diferentes dos declarados;
• Confirmar se o laptop corporativo foi geolocalizado no país correto.

Na operação diária

• Bloquear uso de softwares de administração remota não autorizados;
• Monitorar uso de VPNs, ferramentas de “mouse jiggling”, e comportamentos fora do padrão;
• Solicitar número de série do equipamento durante o onboarding.

Na cultura e na governança

• Criar um programa robusto de risco interno, com políticas claras e envolvimento do RH, jurídico e segurança;
• Realizar testes de penetração focados em ameaças internas;
• Investir em análise comportamental e monitoramento contínuo de usuários, principalmente novos contratados.

A recomendação dos especialistas é clara: se sua empresa não detectou esse problema, talvez não esteja olhando direito.

• inteligência artificial
• deepfakes
• cibersegurança
• IA generativa
• segurança cibernética
• laptop farm