Hackers como candidatos infiltrados

A Nova fronteira da ameaça: Hackers norte-coreanos como “Candidatos” Infiltrados

O phishing evoluiu. Agora, na esteira do trabalho remoto, um ator extraordinariamente organizado — o regime da Coreia do Norte — adota ficções estruturadas, onde profissionais são recrutados a partir de canais legítimos para infiltração corporativa. É a face mais recente da engenharia social: ataques disfarçados de entrevistas de emprego.

 

Estratégia maliciosa usando portais de emprego

Grupos como Famous Chollima, vinculados ao governo norte-coreano, criam plataformas de seleção falsas que imitam empresas renomadas (como Coinbase, Robinhood, Uniswap), atraiam profissionais — especialmente do setor de criptomoedas — e propõem avaliações técnicas como testes de vídeo ou instalação de ferramentas como “CameraAccess” e “VCam”.

Esse pretexto é usado para induzir os candidatos a executar comandos maliciosos, instalando trojans RAT como o “PylangGhost”, capaz de extrair credenciais, cookies e extensões de navegador, deixando backdoors para espionagem ou exfiltração de dados .

 

Impacto real: espionagem e roubo de criptoativos

Essas operações não são isoladas ou experimentais: estão vinculadas a campanhas globais de infiltração de empresas e profissionais de cripto. Estima-se que hackers norte-coreanos tenham exfiltrado mais de US$ 1,6 bilhão em ativos digitais apenas no primeiro semestre de 2025.

Além disso, a abordagem de candidatos remotos via “laptop farms” — em que facilitadores compram laptops físicos e os alugam a hackers norte-coreanos — já gerou centenas de milhões de dólares para o regime, infiltrando empresas de tecnologia americana .

 

Vetor de ataque: desde o currículo até o RAT

O fluxo malicioso geralmente segue estas etapas:

  • Criação de perfil fraudulento — uso de identidade roubada ou fabricada.

  • Oferta de vaga convincente — divulgação em redes profissionais ou plataformas de emprego.

  • Teste técnico realista — uso de ferramentas aparentemente legítimas (ex.: VCam).

  • Instalação de malware — trojan RAT para espionagem e controle remoto.

  • Acesso contínuo — uso da sessão e dispositivo infectado para movimentação lateral ou exfiltração.

Essa sequência combina engenharia social com instalação técnica de malware, enquadrando-se entre os ataques mais sofisticados e difíceis de detectar.

 

Como mitigar esse cenário perigoso

Para conter essa ameaça única, a defesa deve ser multidimensional:

  • Verificação rigorosa de identidade — políticas que exigem autenticação presencial em entrevistas para vagas sensíveis.

  • Revisão de ferramentas de seleção — análise minuciosa de pacotes instalados automaticamente em testes técnicos.

  • Monitoramento de endpoints — detecção de RATs, comportamentos suspeitos e anomalias na rede.

  • Educação e simulações personalizadas — capacitar equipes de RH e TI a identificar sinais de fraude.

  • Controle de hardware de terceiros — proibição ou registro estrito de laptops fornecidos por recrutadores.

 

Conclusão

Ao fingir candidaturas de emprego, hackers norte-coreanos transformaram o processo seletivo em vetor de infiltração insidioso, que combina engenharia social, identidade falsa e malware avançado. Empresas e candidatos precisam compreender que entrevistas online — especialmente técnicas — podem ocultar ameaças sérias.

A melhor defesa envolve mecanismos de validação de identidade, rigor na instalação de softwares de seleção e monitoramento constante de segurança no endpoint. Quanto mais sofisticado o ataque, mais sofisticada deve ser a resposta, garantindo que processos de contratação não se convertam em brechas de segurança cibernética.

 

Referências Bibliográficas: