Um dispositivo comprometido de um trabalhador de TI da Coreia do Norte expôs o funcionamento interno da equipe por trás do hack do Favrr de $680,000 e seu uso de ferramentas do Google para almejar projetos de cripto.
Resumo
Um dispositivo comprometido pertencente a um trabalhador de TI norte-coreano expôs o funcionamento interno dos atores de ameaça.
Evidências mostram que operativos usaram ferramentas alimentadas pelo Google, AnyDesk e VPNs para infiltrar empresas de criptomoedas.
De acordo com o investigador de blockchain ZachXBT, a pista começou com uma fonte não identificada que obteve acesso a um dos computadores dos trabalhadores, revelando capturas de ecrã, exportações do Google Drive e perfis do Chrome que desvendavam como os operacionais planeavam e executavam os seus esquemas.
Baseando-se na atividade da carteira e combinando impressões digitais digitais, ZachXBT verificou o material fonte e ligou os negócios de criptomoeda do grupo ao exploit de junho de 2025 do mercado de fan-tokens Favrr. Um endereço de carteira, "0x78e1a", mostrou ligações diretas aos fundos roubados do incidente.
Dentro da operação
O dispositivo comprometido mostrou que a pequena equipe — seis membros no total — partilhava pelo menos 31 identidades falsas. Para conseguir empregos em desenvolvimento de blockchain, acumularam identificações e números de telefone emitidos pelo governo, chegando até a comprar contas do LinkedIn e do Upwork para completar a sua fachada.
Um script de entrevista encontrado no dispositivo mostrava-os a gabar-se da experiência em empresas de blockchain bem conhecidas, incluindo Polygon Labs, OpenSea e Chainlink.
As ferramentas do Google foram centrais para o seu fluxo de trabalho organizado. Os atores de ameaça foram encontrados a usar planilhas do Drive para acompanhar orçamentos e cronogramas, enquanto o Google Tradutor ajudava a superar a barreira linguística entre o coreano e o inglês.
Entre as informações extraídas do dispositivo estava uma folha de cálculo que mostrava que os trabalhadores de TI estavam a alugar computadores e a pagar pelo acesso a VPN para comprar contas novas para as suas operações.
A equipe também dependia de ferramentas de acesso remoto, como AnyDesk, permitindo que controlassem os sistemas dos clientes sem revelar suas verdadeiras localizações. Os logs de VPN ligavam suas atividades a várias regiões, mascarando endereços IP norte-coreanos.
Descobertas adicionais revelaram que o grupo está à procura de maneiras de implantar tokens em diferentes blockchains, explorando empresas de IA na Europa e mapeando novos alvos no espaço cripto.
Atores de ameaça da Coreia do Norte usam empregos remotos
ZachXBT encontrou o mesmo padrão assinalado em múltiplos relatórios de cibersegurança — trabalhadores de TI norte-coreanos a conseguir empregos remotos legítimos para se infiltrarem no setor de criptomoedas. Ao se fazerem passar por desenvolvedores freelancers, eles ganham acesso a repositórios de código, sistemas de backend e infraestrutura de carteiras.
Um documento descoberto no dispositivo eram notas de entrevista e materiais de preparação que provavelmente deveriam ser mantidos em tela ou nas proximidades durante as chamadas com potenciais empregadores.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Trabalhadores de TI norte-coreanos usaram mais de 30 IDs falsos para almejar empresas de cripto: relatório
Um dispositivo comprometido de um trabalhador de TI da Coreia do Norte expôs o funcionamento interno da equipe por trás do hack do Favrr de $680,000 e seu uso de ferramentas do Google para almejar projetos de cripto.
Resumo
De acordo com o investigador de blockchain ZachXBT, a pista começou com uma fonte não identificada que obteve acesso a um dos computadores dos trabalhadores, revelando capturas de ecrã, exportações do Google Drive e perfis do Chrome que desvendavam como os operacionais planeavam e executavam os seus esquemas.
Baseando-se na atividade da carteira e combinando impressões digitais digitais, ZachXBT verificou o material fonte e ligou os negócios de criptomoeda do grupo ao exploit de junho de 2025 do mercado de fan-tokens Favrr. Um endereço de carteira, "0x78e1a", mostrou ligações diretas aos fundos roubados do incidente.
Dentro da operação
O dispositivo comprometido mostrou que a pequena equipe — seis membros no total — partilhava pelo menos 31 identidades falsas. Para conseguir empregos em desenvolvimento de blockchain, acumularam identificações e números de telefone emitidos pelo governo, chegando até a comprar contas do LinkedIn e do Upwork para completar a sua fachada.
Um script de entrevista encontrado no dispositivo mostrava-os a gabar-se da experiência em empresas de blockchain bem conhecidas, incluindo Polygon Labs, OpenSea e Chainlink.
As ferramentas do Google foram centrais para o seu fluxo de trabalho organizado. Os atores de ameaça foram encontrados a usar planilhas do Drive para acompanhar orçamentos e cronogramas, enquanto o Google Tradutor ajudava a superar a barreira linguística entre o coreano e o inglês.
Entre as informações extraídas do dispositivo estava uma folha de cálculo que mostrava que os trabalhadores de TI estavam a alugar computadores e a pagar pelo acesso a VPN para comprar contas novas para as suas operações.
A equipe também dependia de ferramentas de acesso remoto, como AnyDesk, permitindo que controlassem os sistemas dos clientes sem revelar suas verdadeiras localizações. Os logs de VPN ligavam suas atividades a várias regiões, mascarando endereços IP norte-coreanos.
Descobertas adicionais revelaram que o grupo está à procura de maneiras de implantar tokens em diferentes blockchains, explorando empresas de IA na Europa e mapeando novos alvos no espaço cripto.
Atores de ameaça da Coreia do Norte usam empregos remotos
ZachXBT encontrou o mesmo padrão assinalado em múltiplos relatórios de cibersegurança — trabalhadores de TI norte-coreanos a conseguir empregos remotos legítimos para se infiltrarem no setor de criptomoedas. Ao se fazerem passar por desenvolvedores freelancers, eles ganham acesso a repositórios de código, sistemas de backend e infraestrutura de carteiras.
Um documento descoberto no dispositivo eram notas de entrevista e materiais de preparação que provavelmente deveriam ser mantidos em tela ou nas proximidades durante as chamadas com potenciais empregadores.