Um dispositivo comprometido de um trabalhador de TI da Coreia do Norte expôs o funcionamento interno da equipe por trás do hack do Favrr de $680,000 e seu uso de ferramentas do Google para almejar projetos de cripto.
Resumo
Um dispositivo comprometido pertencente a um trabalhador de TI norte-coreano expôs o funcionamento interno dos atores de ameaça.
Evidências mostram que operativos usaram ferramentas alimentadas pelo Google, AnyDesk e VPNs para infiltrar empresas de criptomoedas.
De acordo com o investigador de blockchain ZachXBT, a pista começou com uma fonte não identificada que obteve acesso a um dos computadores dos trabalhadores, revelando capturas de ecrã, exportações do Google Drive e perfis do Chrome que desvendavam como os operacionais planeavam e executavam os seus esquemas.
Baseando-se na atividade da carteira e combinando impressões digitais digitais, ZachXBT verificou o material fonte e ligou os negócios de criptomoeda do grupo ao exploit de junho de 2025 do mercado de fan-tokens Favrr. Um endereço de carteira, "0x78e1a", mostrou ligações diretas aos fundos roubados do incidente.
Dentro da operação
O dispositivo comprometido mostrou que a pequena equipe — seis membros no total — partilhava pelo menos 31 identidades falsas. Para conseguir empregos em desenvolvimento de blockchain, acumularam identificações e números de telefone emitidos pelo governo, chegando até a comprar contas do LinkedIn e do Upwork para completar a sua fachada.
Um script de entrevista encontrado no dispositivo mostrava-os a gabar-se da experiência em empresas de blockchain bem conhecidas, incluindo Polygon Labs, OpenSea e Chainlink.
As ferramentas do Google foram centrais para o seu fluxo de trabalho organizado. Os atores de ameaça foram encontrados a usar planilhas do Drive para acompanhar orçamentos e cronogramas, enquanto o Google Tradutor ajudava a superar a barreira linguística entre o coreano e o inglês.
Entre as informações extraídas do dispositivo estava uma folha de cálculo que mostrava que os trabalhadores de TI estavam a alugar computadores e a pagar pelo acesso a VPN para comprar contas novas para as suas operações.
A equipe também dependia de ferramentas de acesso remoto, como AnyDesk, permitindo que controlassem os sistemas dos clientes sem revelar suas verdadeiras localizações. Os logs de VPN ligavam suas atividades a várias regiões, mascarando endereços IP norte-coreanos.
Descobertas adicionais revelaram que o grupo está à procura de maneiras de implantar tokens em diferentes blockchains, explorando empresas de IA na Europa e mapeando novos alvos no espaço cripto.
Atores de ameaça da Coreia do Norte usam empregos remotos
ZachXBT encontrou o mesmo padrão assinalado em múltiplos relatórios de cibersegurança — trabalhadores de TI norte-coreanos a conseguir empregos remotos legítimos para se infiltrarem no setor de criptomoedas. Ao se fazerem passar por desenvolvedores freelancers, eles ganham acesso a repositórios de código, sistemas de backend e infraestrutura de carteiras.
Um documento descoberto no dispositivo eram notas de entrevista e materiais de preparação que provavelmente deveriam ser mantidos em tela ou nas proximidades durante as chamadas com potenciais empregadores.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Trabalhadores de TI norte-coreanos usaram mais de 30 IDs falsos para almejar empresas de cripto: relatório
Um dispositivo comprometido de um trabalhador de TI da Coreia do Norte expôs o funcionamento interno da equipe por trás do hack do Favrr de $680,000 e seu uso de ferramentas do Google para almejar projetos de cripto.
Resumo
De acordo com o investigador de blockchain ZachXBT, a pista começou com uma fonte não identificada que obteve acesso a um dos computadores dos trabalhadores, revelando capturas de ecrã, exportações do Google Drive e perfis do Chrome que desvendavam como os operacionais planeavam e executavam os seus esquemas.
Baseando-se na atividade da carteira e combinando impressões digitais digitais, ZachXBT verificou o material fonte e ligou os negócios de criptomoeda do grupo ao exploit de junho de 2025 do mercado de fan-tokens Favrr. Um endereço de carteira, "0x78e1a", mostrou ligações diretas aos fundos roubados do incidente.
Dentro da operação
O dispositivo comprometido mostrou que a pequena equipe — seis membros no total — partilhava pelo menos 31 identidades falsas. Para conseguir empregos em desenvolvimento de blockchain, acumularam identificações e números de telefone emitidos pelo governo, chegando até a comprar contas do LinkedIn e do Upwork para completar a sua fachada.
Um script de entrevista encontrado no dispositivo mostrava-os a gabar-se da experiência em empresas de blockchain bem conhecidas, incluindo Polygon Labs, OpenSea e Chainlink.
As ferramentas do Google foram centrais para o seu fluxo de trabalho organizado. Os atores de ameaça foram encontrados a usar planilhas do Drive para acompanhar orçamentos e cronogramas, enquanto o Google Tradutor ajudava a superar a barreira linguística entre o coreano e o inglês.
Entre as informações extraídas do dispositivo estava uma folha de cálculo que mostrava que os trabalhadores de TI estavam a alugar computadores e a pagar pelo acesso a VPN para comprar contas novas para as suas operações.
A equipe também dependia de ferramentas de acesso remoto, como AnyDesk, permitindo que controlassem os sistemas dos clientes sem revelar suas verdadeiras localizações. Os logs de VPN ligavam suas atividades a várias regiões, mascarando endereços IP norte-coreanos.
Descobertas adicionais revelaram que o grupo está à procura de maneiras de implantar tokens em diferentes blockchains, explorando empresas de IA na Europa e mapeando novos alvos no espaço cripto.
Atores de ameaça da Coreia do Norte usam empregos remotos
ZachXBT encontrou o mesmo padrão assinalado em múltiplos relatórios de cibersegurança — trabalhadores de TI norte-coreanos a conseguir empregos remotos legítimos para se infiltrarem no setor de criptomoedas. Ao se fazerem passar por desenvolvedores freelancers, eles ganham acesso a repositórios de código, sistemas de backend e infraestrutura de carteiras.
Um documento descoberto no dispositivo eram notas de entrevista e materiais de preparação que provavelmente deveriam ser mantidos em tela ou nas proximidades durante as chamadas com potenciais empregadores.