A Microsoft suspendeu 3.000 contas do Outlook e do Hotmail ligadas a um esquema norte-coreano envolvendo nacionais da RPDC se passando por trabalhadores remotos sob identidades falsas.
Oficiais dos EUA há muito alertam que a Coreia do Norte usa ganhos ilícitos de hacks de criptomoedas, fraudes e operações de TI para contornar sanções internacionais e manter seus programas militares. As autoridades estão agora reprimindo o que chamam de operação criminosa global que secretamente canaliza milhões para o regime autoritário de Kim Jong Un.
A Microsoft fecha 3.000 contas de e-mail ligadas à Coreia do Norte
A Microsoft suspendeu mais de 3.000 contas de e-mail em uma varredura do esquema internacional operado por trabalhadores de TI norte-coreanos se fazendo passar por profissionais de tecnologia remotos.
As ações da Microsoft seguem uma operação coordenada envolvendo o Departamento de Justiça dos EUA, o FBI e outras agências federais. Juntas, elas começaram a desmantelar uma conspiração sofisticada codinome “Jasper Sleet” pelo Centro de Inteligência de Ameaças da Microsoft. É uma operação que explora mercados de trabalho freelance e empresas de tecnologia em todo o mundo.
A operação não apenas defrauda empregadores, mas também se acredita que financia diretamente o programa de armas nucleares da Coreia do Norte.
De acordo com a equipe de Inteligência de Ameaças da Microsoft, o esquema envolve profissionais de TI treinados da República Popular Democrática da Coreia (RPDC) que assumem identidades falsas para garantir emprego remoto com empresas estrangeiras, especialmente nos Estados Unidos.
Muitos desses trabalhadores são altamente qualificados, com alguns empregadores elogiando-os sem saber como os melhores desempenhos.
“Esses não são hackers invadindo sistemas”, disse o Centro de Inteligência de Ameaças da Microsoft (MSTIC). “Eles são desenvolvedores habilidosos, engenheiros de garantia de qualidade e especialistas em suporte de TI que passam em entrevistas, completam trabalho real e se misturam — exceto por um detalhe crítico: eles estão trabalhando para a RPDC.”
Em muitos casos, cúmplices que às vezes são cidadãos americanos facilitam o acesso alugando suas identidades ou operando o que as autoridades descrevem como “fazendas de laptops”.
Fazendas de laptops são locais físicos onde laptops emitidos por empregadores desavisados são enviados e mantidos. Pelo menos 29 desses locais foram revistados pela aplicação da lei, com laptops instalados com software de acesso remoto ou fisicamente redirecionados para a China ou Rússia.
O Departamento de Justiça detalhou recentemente o caso de um funcionário de um salão de unhas baseado em Maryland que será sentenciado em agosto. O homem foi encontrado com 13 empregos simultaneamente em nome de trabalhadores de TI norte-coreanos, ganhando quase $1 milhão em pagamentos de salários remotos.
De acordo com as estimativas das Nações Unidas, o programa de trabalhadores de TI da Coreia do Norte gera até $600 milhões anualmente. Essa receita frequentemente acaba apoiando operações de cibercrime e as ambições nucleares do país.
A Microsoft contra-ataca com ferramentas de IA e detecção
Em um post de blog esta semana, a Microsoft detalhou a suspensão de 3.000 contas de e-mail de consumidores, principalmente do Outlook e Hotmail, que estavam sendo usadas pelos operativos norte-coreanos.
“Além das 3.000 contas de e-mail de consumidores que foram recentemente removidas, em nossos esforços para interromper a atividade dos atores e proteger nossos clientes dessa ameaça, a Microsoft continuou a desativar contas de persona à medida que são identificadas e rastrear o uso de IA pelos atores”, disse Jeremy Dallman, o diretor sênior do Centro de Inteligência de Ameaças da Microsoft.
A Microsoft observou que os trabalhadores norte-coreanos estão se tornando cada vez mais sofisticados. Eles agora utilizam ferramentas de IA para corrigir erros gramaticais em currículos e cartas de apresentação, aprimorar suas fotos para parecerem mais profissionais ou ocidentalizadas e usar tecnologia FaceSwap para impor suas imagens em documentos de identidade roubados.
Alguns estão até experimentando software de modulação de voz para ajudar facilitadores a passar em entrevistas de emprego em seu nome. Embora a Microsoft ainda não tenha observado o uso de deepfakes de voz e vídeo combinados em entrevistas em tempo real, a empresa alertou que pode ser apenas uma questão de tempo.
“Se bem-sucedido, essa tática poderia permitir que os trabalhadores de TI norte-coreanos fizessem entrevistas diretamente e não mais dependessem de facilitadores representando-os”, disse a Microsoft.
Essas táticas de IA aprimoradas permitem que os operativos ocultem melhor sua origem, tornando mais difícil para os empregadores identificarem sinais de alerta. Métodos comuns incluem reciclar nomes, endereços de e-mail e modelos de perfil em várias plataformas de emprego, como LinkedIn, GitHub e marketplaces de freelancers.
Para detectar e se defender contra essas táticas, a Microsoft implantou uma solução personalizada de aprendizado de máquina que sinaliza atividades suspeitas usando o que chama de análise de “viagem no tempo impossível”, que inclui monitoramento de logins em locais geograficamente implausíveis dentro de prazos estreitos, como acesso dos EUA seguido de perto pela China ou Rússia.
A Microsoft também está reforçando suas ferramentas de proteção de identidade e incentivando as empresas a adotar protocolos de autenticação fortes e sistemas de detecção de risco em tempo real. A empresa de tecnologia colaborou com agências governamentais dos EUA para compartilhar inteligência e construir soluções técnicas que podem ser aplicadas em toda a indústria de cibersegurança.
A empresa se comprometeu a manter pressão sobre a ameaça em evolução. “Jasper Sleet está constantemente mudando e evoluindo seus perfis”, disse Dallman. “Estamos observando como eles se adaptam, especialmente com IA, e trabalhando para estar um passo à frente.”
Academia Cryptopolitan: Em Breve - Uma Nova Maneira de Ganhar Renda Passiva com DeFi em 2025. Saiba Mais