Uma investigação conjunta liderada por Mauro Eldritch, fundador da BCA LTD, em colaboração com a NorthScan e a ANY.RUN, revelou um dos esquemas de infiltração mais persistentes da Coreia do Norte. O foco foi uma rede de trabalhadores de TI remotos associados à divisão Chollima do famoso Grupo Lazarus. Pela primeira vez, os pesquisadores conseguiram observar as operações ao vivo, capturando atividades que acreditavam ser de laptops de desenvolvedores reais. No entanto, as máquinas eram ambientes sandbox controlados criados pela ANY.RUN.
A operação começou quando Heiner García, da NorthScan, se passou por um desenvolvedor dos EUA, alvo de um recrutador do Lazarus usando o pseudônimo “Aaron” ou “Blaze”. Blaze tentou contratar o falso desenvolvedor como fachada, uma tática conhecida para infiltrar trabalhadores de TI norte-coreanos em empresas ocidentais, especialmente nos setores financeiro, de criptomoedas, saúde e engenharia. O esquema envolvia roubo de identidade, passar por entrevistas com ferramentas de IA e trabalhar remotamente através do laptop da vítima, redirecionando o salário para a Coreia do Norte.
Em vez de usar um laptop real, Mauro Eldritch da BCA LTD utilizou máquinas virtuais do Sandbox da ANY.RUN, configuradas para parecerem estações de trabalho pessoais ativas, com histórico de uso e ferramentas de desenvolvedor. Isso permitiu que a equipe registrasse cada movimento sem alertar os operadores.
As sessões sandbox revelaram um conjunto de ferramentas voltadas para a tomada de identidade e acesso remoto. Entre elas estavam ferramentas de automação de emprego movidas por IA para preencher formulários e gerar respostas de entrevistas, geradores de OTP baseados em navegador para lidar com 2FA das vítimas, e o Google Remote Desktop configurado para controle persistente do host. As conexões eram consistentemente roteadas através do Astrill VPN, um padrão associado à infraestrutura anterior do Lazarus.
Contratações remotas tornaram-se um ponto de entrada silencioso, mas eficaz, para ameaças baseadas em identidade. Atacantes frequentemente visam funcionários individuais com pedidos de entrevista aparentemente legítimos. Uma vez dentro, o risco vai além de um único trabalhador comprometido, podendo acessar dados sensíveis e contas de nível gerencial. A conscientização interna e um espaço seguro para verificar suspeitas podem ser cruciais para evitar compromissos internos.
Fonte:https://thehackernews.com/2025/12/researchers-capture-lazarus-apts-remote.html
