Integrantes do grupo Chollima APT, ligado ao governo da Coreia do Norte, foram flagrados tentando se passar por engenheiros de software durante entrevistas de emprego em uma empresa de criptomoedas. Os criminosos utilizaram deepfakes — vídeos manipulados por inteligência artificial — para imitar rostos reais de profissionais legítimos.
Essa é a primeira vez que especialistas em segurança digital atribuem esse tipo de ataque diretamente a um grupo específico. O Chollima, considerado uma subdivisão do famoso grupo Lazarus, é conhecido por se infiltrar em companhias financeiras ocidentais para desviar recursos e informações estratégicas.
Como o golpe com deepfakes funcionava
Antes mesmo das entrevistas, os hackers roubavam identidades e currículos reais de engenheiros de software, estudando minuciosamente suas vítimas para parecerem autênticos. A meta final era obter acesso a empresas de cripto e web3, ganhando credenciais internas para roubar fundos e dados corporativos.
Nessa tentativa mais recente, os golpistas se passaram por dois engenheiros mexicanos, Mateo e Alfredo, participando de entrevistas por vídeo usando deepfakes. Porém, os disfarces falharam: os movimentos da boca não sincronizavam com o áudio, e os rostos apresentavam distorções visíveis — erros que ajudaram especialistas a identificar a fraude.
Durante a conversa, os falsos candidatos afirmaram ter estudado engenharia no México, mas não conseguiram falar uma única palavra em espanhol.
Logo após as entrevistas, os perfis falsos do LinkedIn foram apagados, o que reforçou a suspeita. Esse mesmo comportamento já havia sido observado em outras tentativas de infiltração da Chollima, segundo a Equipe Quetzal, grupo que investiga atividades cibernéticas na América Latina.
Técnicas usadas para mascarar a origem norte-coreana
A investigação revelou que os agentes utilizavam o Astrill VPN, ferramenta comum entre usuários chineses e hackers norte-coreanos para burlar bloqueios de rede e esconder sua localização real. As conexões eram roteadas por IPs europeus e depois redirecionadas para IPs residenciais dos EUA, estratégia que simulava uma origem norte-americana legítima.
Esse método faz parte de uma operação mais ampla de infiltração em empresas estrangeiras por parte de hackers da Coreia do Norte, que buscam empregar cidadãos locais sob identidades falsas para gerar receita ilícita ao regime.
Alerta para empresas: verificação rigorosa é essencial
O caso reforça a necessidade de políticas mais rígidas de verificação de identidade em contratações remotas. Especialistas recomendam que empresas gravem entrevistas, verifiquem documentos originais e cruzem informações de rede e IP para confirmar a autenticidade dos candidatos.
A negligência nesses processos pode sair cara. Em julho de 2025, uma mulher do Arizona foi condenada a oito anos e meio de prisão por ajudar hackers norte-coreanos em um golpe de US$ 17 milhões, que afetou mais de 300 empresas nos EUA.
Outro relatório, divulgado em maio do mesmo ano, revelou que golpistas norte-coreanos fingindo ser profissionais de TI americanos desviaram mais de US$ 88 milhões usando identidades falsas e contratos remotos.
As tentativas do Chollima APT mostram como a combinação de deepfakes e roubo de identidade está elevando o nível de sofisticação dos golpes digitais — e como a linha entre recrutamento remoto e espionagem cibernética pode ser mais tênue do que nunca.
