Sapphire Sleet APT
O grupo de ameaças afiliado à Coreia do Norte identificado como Sapphire Sleet supostamente arrecadou mais de US$ 10 milhões em criptomoedas por meio de esquemas de engenharia social conduzidos ao longo de um período de seis meses. As descobertas da pesquisa indicam que vários grupos de ameaças conectados à Coreia do Norte têm criado perfis fraudulentos no LinkedIn. Esses perfis, projetados para imitar recrutadores e candidatos a emprego, visam facilitar atividades ilícitas e gerar suporte financeiro para o regime fortemente sancionado.
Ativo desde pelo menos 2020, o Sapphire Sleet compartilha conexões com outras entidades de hacking, como APT38 e BlueNoroff. Em novembro de 2023, pesquisadores descobriram que o grupo havia criado uma infraestrutura imitando plataformas de avaliação de habilidades, alavancando esses sites para executar suas táticas de engenharia social.
Índice
TAs áticas Enganosas Empregadas pelo Sapphire Sleet
No ano passado, o grupo empregou principalmente uma estratégia de se passar por capitalistas de risco, fingindo interesse no negócio de um alvo para marcar uma reunião online. Quando os alvos tentam entrar na reunião, eles encontram mensagens de erro instruindo-os a entrar em contato com o administrador da reunião ou com a equipe de suporte para obter assistência.
Se a vítima obedecer, os invasores fornecem um arquivo AppleScript (.scpt) ou um arquivo Visual Basic Script (.vbs) adaptado ao sistema operacional da vítima sob o pretexto de resolver o problema. Nos bastidores, esses scripts são projetados para implantar software malicioso no dispositivo macOS ou Windows da vítima, permitindo que os invasores coletem credenciais e acessem carteiras de criptomoedas para roubo subsequente.
Representando uma Entidade Legítima para Enganar os Alvos
O Sapphire Sleet foi observado se passando por recrutadores de instituições financeiras importantes, como o Goldman Sachs, no LinkedIn. Essa tática envolve entrar em contato com alvos em potencial e convidá-los a concluir uma avaliação de habilidades hospedada em um site controlado pelos agentes da ameaça.
As vítimas recebem uma conta de login e senha para acessar o site fraudulento. Ao fazer login e baixar arquivos relacionados à suposta avaliação, elas inadvertidamente instalam malware em seus dispositivos, concedendo aos invasores acesso não autorizado aos seus sistemas.
Além disso, analistas de segurança cibernética destacaram a implantação de milhares de trabalhadores de TI no exterior pela Coreia do Norte como parte de uma estratégia multifacetada. Esses trabalhadores geram receita para o regime por meio de emprego legítimo, exploram seu acesso para roubar propriedade intelectual e se envolvem em roubo de dados para exigir resgate.
Devido a restrições dentro da Coreia do Norte, como a incapacidade de abrir contas bancárias ou obter números de telefone, esses operadores de TI dependem de intermediários para obter acesso a plataformas onde podem garantir empregos remotos. Esses facilitadores auxiliam em tarefas como criar contas em sites de empregos freelance e configurar perfis e portfólios falsos em plataformas como GitHub e LinkedIn para interagir com recrutadores e se candidatar a oportunidades de emprego.
Os Cibercriminosos estão Adotando Tecnologias de IA nas Suas Operações
Em alguns casos, o grupo foi encontrado alavancando ferramentas de inteligência artificial (IA), como o Faceswap, para alterar fotos e documentos obtidos das vítimas. Essas imagens modificadas, frequentemente colocadas em ambientes profissionais, são então usadas em currículos ou perfis — às vezes sob múltiplas identidades — enviados para candidaturas a empregos.
Além da manipulação de imagens para candidaturas a empregos, os profissionais de TI norte-coreanos também estão explorando outras tecnologias de IA, incluindo software de mudança de voz, para aprimorar seus esforços enganosos.
Os trabalhadores de TI da Coreia do Norte parecem manter um sistema bem organizado para rastrear os pagamentos que recebem. Estima-se que seus esforços combinados tenham gerado pelo menos $370.000 em receita.
