Criminosos do grupo Chollima APT foram flagrados ao tentar se passar por engenheiros de softwares em entrevistas de emprego. Por duas vezes consecutivas, eles tentaram ingressar em uma empresa de criptomoedas com o uso deepfakes – técnica baseada em inteligência artificial para substituir rostos em vídeos. Os agentes desse grupo são famosos pelo patrocínio do governo norte-coreano.
Embora o destaque do caso seja o uso de deepfakes, o ataque começa muito antes dessa etapa. Os criminosos roubam identidades e currículos legítimos de engenheiros, estudando suas vítimas, visando se infiltrar em empresas de cripto e web3 para roubar fundos.
Como funciona o golpe das entrevistas com deepfake?
O TecMundo já havia reportado atividades anteriores do caso, no entanto, essa é a primeira vez que especialistas em segurança atribuem esse tipo de ação a um grupo criminoso em específico. O Chollima é uma divisão do grupo Lazarus, cuja especialização é se infiltrar em empresas financeiras ocidentais.
Dessa vez, os criminosos roubaram a identidade de dois engenheiros de software mexicanos, chamados Mateo e Alfredo. Adiante, participaram de entrevistas em vídeo, nas quais usaram deepfakes para reconstruir a aparência das vítimas. No entanto, a tecnologia falhou com os cibercriminosos – erros que ajudaram especialistas a reconhecer os sinais da farsa.
O deepfake ficou muito ‘fake’
Durante as entrevistas, os atacantes tiveram problemas com os filtros faciais, que não mexiam suas bocas falsas durante as falas, além de seus rostos estarem relativamente distorcidos.
Ambos disseram ter cursado engenharia em universidades do México e vivido em Jalisco e Chihuahua, respectivamente. No entanto, nenhum deles conseguiu pronunciar uma única palavra em espanhol ao ser questionado.
Logo após as entrevistas, seus perfis no LinkedIn foram apagados — comportamento idêntico ao observado em outras tentativas de infiltração da Chollima, segundo registros da Equipe Quetzal.
A apuração também mostrou que os dois agentes utilizavam o Astrill VPN, serviço popular entre usuários chineses para driblar o Grande Firewall, e cada vez mais adotado por profissionais de TI norte-coreanos envolvidos em fraudes online.
As conexões passavam primeiro por endereços IP localizados na Europa e, em seguida, eram redirecionadas para IPs residenciais dos Estados Unidos, ligados a fazendas de laptops. O objetivo era ocultar a origem norte-coreana e fazer os agentes parecerem candidatos norte-americanos com conexões domésticas legítimas.
Essa nova tentativa de hackers da Coreia do Norte de esconder suas identidades enquanto buscam vagas em empresas ocidentais reforça a importância de políticas rigorosas de verificação em contratações remotas. As companhias devem trabalhar junto a equipes de compliance e realizar checagens detalhadas de identidade — incluindo, quando permitido, o registro das entrevistas para confirmar a autenticidade dos candidatos.
A negligência nesses processos pode ter consequências sérias. Em julho, uma mulher do Arizona foi sentenciada a oito anos e meio de prisão por auxiliar hackers norte-coreanos em uma fraude de US$ 17 milhões, que atingiu mais de 300 empresas dos EUA. Já um relatório divulgado em maio de 2025 revelou que golpistas norte-coreanos, fingindo ser profissionais de TI americanos, haviam desviado mais de US$ 88 milhões usando identidades falsas.
Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e em nossa newsletter para receber mais notícias de tecnologia e segurança!