Investigadores em cibersegurança identificaram uma operação de espionagem cibernética coordenada por hackers da Coreia do Norte, que criaram empresas nos Estados Unidos para executar ataques direcionados ao mercado de criptomoedas. As entidades de fachada — Blocknovas LLC e Softglide LLC — teriam sido registradas com dados e endereços falsos nos estados do Novo México e Nova York, de acordo com a empresa de segurança digital Silent Push.
Essa manobra representa uma evolução na forma como o regime norte-coreano contorna sanções internacionais e conduz operações para financiar seu programa nuclear por meio da exploração de ativos digitais, apontou a Silent Push. Uma terceira organização, a Angeloper Agency, também aparece conectada ao esquema, embora não tenha registros oficiais em território estadunidense.
Ofertas de emprego falsas como isca para ataques
As companhias fraudulentas foram utilizadas para oferecer vagas de trabalho fictícias a desenvolvedores que atuam no universo cripto. Ao aceitar entrevistas ou baixar documentos enviados durante o processo seletivo, os candidatos acabavam instalando malwares capazes de acessar carteiras digitais, senhas e outras credenciais sensíveis.
“Esses ataques não só visam fundos em criptoativos, mas também representam uma ameaça às redes corporativas onde esses desenvolvedores atuam”, afirmou Kasey Best, diretor de inteligência de ameaças da Silent Push. Segundo ele, a Blocknovas foi a mais ativa na campanha e já fez várias vítimas confirmadas.
Em resposta, o FBI apreendeu o domínio da Blocknovas e publicou uma mensagem oficial no site, alertando que a empresa estava sendo usada como parte de uma operação cibernética maliciosa promovida por atores ligados à Coreia do Norte. Apesar disso, o bureau evitou comentar diretamente sobre as duas empresas em questão.
As ações são atribuídas a um subgrupo do Lazarus Group, conhecido braço de elite da inteligência norte-coreana vinculado ao Reconnaissance General Bureau, agência responsável pelas operações externas de espionagem do regime de Pyongyang.
De acordo com as investigações, o malware utilizado na campanha é capaz de abrir portas de acesso remoto, roubar dados sensíveis e servir de canal para o carregamento de softwares ainda mais avançados.
Violação de sanções internacionais
A existência de empresas norte-coreanas registradas em solo americano representa uma violação direta às sanções impostas pelo Departamento do Tesouro dos Estados Unidos, por meio do Escritório de Controle de Ativos Estrangeiros (OFAC), além de contrariar resoluções das Nações Unidas que proíbem qualquer atividade comercial que beneficie o regime de Kim Jong-un.
A Reuters, que teve acesso aos documentos de registro, não conseguiu confirmar a identidade das pessoas listadas como responsáveis legais pelas companhias. No caso da Blocknovas, o endereço fornecido aponta para um terreno vazio na Carolina do Sul, enquanto a Softglide foi associada a um pequeno escritório contábil em Buffalo, Nova York.
Em nota, o gabinete do Secretário de Estado do Novo México alegou que o registro foi feito de acordo com a legislação estadual e que não teria como identificar a conexão das empresas com a Coreia do Norte. O Departamento de Estado de Nova York não se manifestou sobre o caso.
