Criminosos do grupo Chollima APT foram flagrados tentando se passar por engenheiros de software durante entrevistas de emprego em uma empresa de criptomoedas. Por duas vezes consecutivas, os hackers utilizaram deepfakes — tecnologia baseada em inteligência artificial capaz de substituir rostos em vídeos — para enganar recrutadores. O grupo é conhecido por seu vínculo com o governo norte-coreano.
Embora o uso de deepfakes tenha chamado a atenção, os ataques começaram bem antes dessa etapa. Os cibercriminosos roubaram identidades e currículos reais de engenheiros de software, analisando cuidadosamente o histórico de suas vítimas. O objetivo era infiltrar-se em empresas de cripto e Web3 para desviar fundos e informações confidenciais.
Essa é a primeira vez que especialistas em segurança atribuem esse tipo de ataque a um grupo específico. O Chollima é uma subdivisão do Lazarus Group, conhecido por se infiltrar em empresas financeiras ocidentais e por realizar operações de espionagem e cibercrime patrocinadas pelo regime norte-coreano.
O deepfake que falhou
Desta vez, os hackers roubaram a identidade de dois engenheiros mexicanos, identificados como Mateo e Alfredo, e participaram de entrevistas em vídeo usando deepfakes que simulavam seus rostos. No entanto, a tecnologia não funcionou perfeitamente, o que acabou expondo a fraude.
Durante as entrevistas, os filtros faciais não sincronizavam as bocas com as falas, e os rostos apareciam distorcidos. Além disso, ao serem questionados em espanhol, nenhum dos supostos candidatos conseguiu responder corretamente, apesar de afirmarem ter cursado engenharia no México e viverem em Jalisco e Chihuahua.
Logo após as entrevistas, os perfis falsos no LinkedIn foram excluídos, repetindo o padrão observado em outras tentativas de infiltração do grupo Chollima, segundo a Equipe Quetzal, responsável pela investigação.
Táticas de disfarce e rastros digitais
A apuração revelou que os hackers utilizavam o Astrill VPN, ferramenta popular entre usuários chineses que buscam contornar o Grande Firewall. Essa mesma rede vem sendo amplamente usada por profissionais de TI norte-coreanos envolvidos em fraudes online.
Os ataques eram mascarados por endereços IP da Europa, redirecionados posteriormente para IPs residenciais dos Estados Unidos, ligados a fazendas de laptops. Essa técnica visava ocultar a origem norte-coreana e fazer os invasores parecerem candidatos norte-americanos com conexões legítimas.
Segurança e lições para o mercado
Esses novos ataques reforçam a importância de políticas rigorosas de verificação de identidade em contratações remotas. Especialistas recomendam que as empresas trabalhem em conjunto com equipes de compliance e gravem entrevistas em vídeo, quando permitido, para confirmar a autenticidade dos candidatos.
A negligência nesses processos pode gerar graves consequências. Em julho, uma mulher do Arizona foi condenada a oito anos e meio de prisão por ajudar hackers norte-coreanos em uma fraude de US$ 17 milhões, que afetou mais de 300 empresas norte-americanas.
Além disso, um relatório divulgado em maio de 2025 revelou que golpistas norte-coreanos, se passando por profissionais de TI dos Estados Unidos, desviaram mais de US$ 88 milhões utilizando identidades falsas.
