Resumo Executivo
Nos últimos meses, a Okta Threat Intelligence conduziu uma pesquisa aprofundada sobre serviços online usados por indivíduos identificados pelas autoridades dos EUA e terceiros confiáveis como agentes da República Popular Democrática da Coreia (RPDC).
Membros de nossa equipe publicaram agora um conjunto de observáveis relacionados a esses dispositivos, que estão disponíveis para contatos de segurança de clientes autenticados em security.okta.com. Observe que esses dispositivos podem ser usados para fins legítimos - ou não autorizados, mas benignos - por funcionários e, por si só, não são um indicador de atividade da RPDC.
História
Esquemas fraudulentos de trabalhadores de TI
Várias prisões e indiciamentos (ver Apêndice B) revelaram a escala em que indivíduos operando em nome da RPDC foram mobilizados para países vizinhos para obter emprego fraudulento em organizações em todo o mundo.
O principal objetivo desses esquemas é arrecadar fundos para a RPDC e compensar as significativas sanções financeiras aplicadas ao regime norte-coreano. As agências dos EUA também identificaram vários casos atípicos em que o acesso aos sistemas fornecidos para emprego foi usado para facilitar a espionagem ou extorsão de dados.
Os alvos desses esquemas fraudulentos parecem oportunistas e baseados na disponibilidade de funções técnicas remotas. Os empregadores mais em risco são empresas de tecnologia que são mais propensas a aceitar candidatos remotos para funções de TI ou engenharia de software, geralmente de forma contingente. No entanto, essas campanhas também se estendem a verticais do setor muito além do setor de tecnologia.
Okta Threat Intelligence utilizou indicadores associados a facilitadores e agentes conhecidos da RPDC para rastrear o uso de aplicativos GenAI. Também trabalhamos com clientes e parceiros altamente visados para desenvolver controles preventivos para este modelo de ameaça exclusivo. No processo, a Okta revisou seus próprios processos de integração, compartilhou materiais de conscientização e desenvolveu inúmeros métodos de detecção.
A pesquisa teve uma influência direta nas melhorias de recursos incorporadas ao Okta Workforce Identity, como os serviços de verificação de identidade, que os clientes da Okta podem usar para reduzir sua exposição a essa ameaça. Estes são discutidos na seção “Controles de Mitigação” deste aviso.
Os Facilitadores
Nossa compreensão desta ameaça é moldada pela visão única que o Okta Threat Intelligence pode obter sobre as ferramentas usadas por aqueles indivíduos identificados como “facilitadores” de esquemas de emprego fraudulentos.
Esses facilitadores fornecem o suporte necessário no país, a infraestrutura técnica e/ou a cobertura comercial legítima para ajudar pessoas de países sancionados a obter e manter emprego.
Facilitadores detidos pelas autoridades policiais nos Estados Unidos são acusados de ter fornecido conscientemente uma gama de Serviços de suporte a cidadãos da RPDC:
- Assistência direta no processo de recrutamento
- Um endereço nacional para o envio de dispositivos fornecidos pela empresa
- Acesso a documentos de identidade legítimos
- Operando dispositivos emitidos pela empresa em nome do trabalhador remoto
- Instalação de ferramentas de gerenciamento e monitoramento remoto (RMM) no dispositivo para facilitar o trabalho remoto
- Autenticando, quando necessário, em nome do funcionário remoto
Uma operação de “fazenda de laptops” com sede no Arizona exposta em maio de 2024 supostamente ajudou na colocação de mais de 300 pessoas em cargos técnicos nos Estados Unidos. Em outro indiciamento de janeiro de 2025, dois residentes dos EUA foram acusados de obter fraudulentamente emprego e operar uma fazenda de laptops na Carolina do Norte para cidadãos da RPDC, depois que eles conseguiram emprego em 64 organizações.
A Okta agora pode revelar o grau em que os facilitadores de esquemas de trabalho fraudulentos dependem de serviços aprimorados por GenAI emergentes para escalar suas operações.
O papel da IA
Usando IA generativa para “testar e aprender”
Nos últimos meses, indivíduos fortemente suspeitos de serem personas criadas pela RPDC foram registados a utilizar vídeo "deepfake" em tempo real durante entrevistas.
A pesquisa de Okta Threat Intelligence observou um conjunto muito mais amplo de serviços GenAI usados nesses esquemas, sugerindo uma tentativa muito deliberada por parte dos facilitadores de acompanhar a inovação em IA. Os facilitadores agora estão usando ferramentas baseadas em GenAI para otimizar cada etapa do processo de candidatura e entrevista para funções e para ajudar os cidadãos da RPDC a manter este emprego.
Foram observados facilitadores usando serviços baseados em GenAI especializados em:
- Mensagens unificadas
- Plataformas de recrutamento
- Triagem de currículos/CVs
- Gerenciamento de candidatos
- Triagem automatizada de empregos
- Chatbots baseados em IA
- Treinamento de código de IA
- Envio online
Embora a Okta Threat Intelligence não consiga observar as atividades dos facilitadores para além da página de login, a estreita gama de funcionalidades oferecida por muitas destas ferramentas permite-nos formular hipóteses sobre alguns casos de uso prováveis, que são apresentados na tabela abaixo.
| Categoria de Serviço | Tarefa | Papel da IA |
|---|---|---|
| Mensagens unificadas | Gerenciar a comunicação em nome de vários candidatos de países sancionados e suas múltiplas personas. | Comunicações de Comércio Web Limited dba WebNic.cc |
| Plataformas de recrutamento | Poste candidaturas de emprego semelhantes às anunciadas em Organizações alvo para avaliar as taxas de sucesso de candidaturas legítimas. | Estas plataformas de recrutamento oferecem acesso a sistemas de interesse para facilitadores: software de rastreamento de candidatos (ATS). Estes algoritmos determinam se um aplicativo de emprego prossegue através de verificações automatizadas. Currículos e cartas de apresentação de candidatos a emprego legítimos podem fazer parte de um conjunto de Treinamento para otimizar aplicativos feitas em nome de cidadãos da RPDC. |
| Triagem de currículos | Otimizar currículos em nome de vários candidatos de países sancionados e as suas múltiplas personas. | Agentes de IA testam currículos enviados em relação ao ATS (software de rastreamento de candidatos) para reconhecer quais personas terão mais sucesso em qualquer anúncio de emprego direcionado. |
| Gerenciamento de candidatos | Gerenciar vários aplicativos de emprego em nome de múltiplas personas gerenciadas por uma única pessoa. | Ferramentas aprimoradas por IA são usadas para automatizar o processo de rastreamento de vários aplicativos de emprego. |
| Simulações de entrevistas | Realize simulações de entrevistas (baseadas em webcam e texto) com agentes de IA encarregados de avaliar as habilidades de apresentação e respostas de um candidato durante uma entrevista. | Os facilitadores podem usar essas entrevistas simuladas baseadas em chat GenAI para testar a eficácia de sobreposições deepfake e respostas roteirizadas para perguntas de entrevistas de emprego. |
| chatbots baseados em LLM | Responder a perguntas e concluir tarefas durante entrevistas de emprego e qualquer emprego resultante. | Chatbots de IA são usados em tempo real por facilitadores substituindo candidatos para responder a perguntas durante entrevistas. Eles provavelmente são usados novamente por candidatos para concluir tarefas durante o emprego. |
| Serviços de treinamento de código | Adoção rápida de habilidades de desenvolvimento desconhecidas exigidas por uma organização contratante. | Os candidatos usam plataformas de treinamento baseadas em IA para alcançar competência suficiente em uma determinada habilidade para obter e manter o emprego pelo maior tempo possível. |
Tabela 1: Serviços aprimorados por IA e outras ferramentas usadas por facilitadores de campanhas de “wagemole” da RPDC
Casos de uso para ferramentas aprimoradas por IA
1. Mensagens Unificadas
Um dos desafios mais exigentes para os facilitadores é como gerenciar as comunicações multicanal em nome de dezenas de candidatos de países sancionados e suas múltiplas personas.
O Okta Threat Intelligence observou o uso de serviços de mensagens unificadas para gerenciar várias contas simultâneas de telefones celulares, mensagens instantâneas e e-mail, bem como outros serviços de bate-papo relacionados.
Esses serviços de mensagens unificadas usam GenAI para transcrever ou resumir conversas e fornecer tradução em tempo real de voz e texto. Eles parecem ser fundamentais para ajudar um grupo relativamente pequeno de facilitadores a agendar entrevistas de emprego com várias personas de candidatos da RPDC.
2. Plataformas de recrutamento
Facilitadores e candidatos fazem uso extensivo de plataformas de procura de emprego para se candidatarem a vagas. Mais surpreendente foi o uso de plataformas de recrutamento aprimoradas por IA, normalmente usadas por recrutadores (não por candidatos), provavelmente numa tentativa de ampliar o alcance e a precisão dos anúncios de emprego.
O acesso a essas ferramentas oferece aos facilitadores oportunidades de anunciar funções em empresas de fachada que são semelhantes, se não idênticas, às anunciadas pelas organizações visadas, a fim de estudar as cartas de apresentação e os currículos de candidatos legítimos. Os currículos e as cartas de apresentação de candidatos a emprego legítimos podem até fazer parte de um conjunto de treinamento para otimizar futuras candidaturas feitas em nome de trabalhadores da RPDC.
Em escala, essas técnicas melhoram drasticamente o sucesso potencial das candidaturas de emprego, efetivamente usando as próprias ferramentas dos recrutadores contra eles em escala.
3. Triagem de currículos/CVs
O Okta Threat Intelligence avalia que os facilitadores são altamente motivados a gerar cartas de apresentação, currículos e entrevistas bem-sucedidas e abordar quaisquer critérios específicos em um determinado aplicativo.
Observou-se que os facilitadores utilizavam serviços que fornecem “Superpoderes de IA” aos candidatos a emprego para ajudá-los a “enganar os robôs dos empregadores”, a fim de melhorar as chances de uma candidatura de emprego progredir com sucesso nas verificações automatizadas de CV/currículos usadas em plataformas de recrutamento.
Esses serviços utilizam agentes da GenAI para testar currículos enviados em comparação com o ATS (software de rastreamento de candidatos), iterando até obter um resultado melhor e aprendendo quais perfis terão mais sucesso em determinada função.
4. Gerenciamento de candidatos
O Okta Threat Intelligence observou serviços que usam agentes GenAI para automatizar o processo de preenchimento de formulários de candidatura em nome dos candidatos e para rastrear o progresso dos candidatos ao longo do processo de candidatura.
Novamente, esses recursos abordam o desafio de facilitar candidaturas de emprego e emprego em nome de vários indivíduos e suas múltiplas personas em vários fusos horários.
5. Simulações de entrevistas
Uma vez que um aplicativo é bem-sucedido, a próxima tarefa para os facilitadores é preparar seus candidatos (ou o próprio facilitador, em alguns casos) para entrevistas de emprego.
Observou-se que os facilitadores usavam serviços aprimorados por IA que implantam agentes GenAI para hospedar e gravar entrevistas da primeira rodada em nome dos empregadores, depois criticam e oferecem dicas de melhoria para o entrevistado.
Esses serviços automatizados de "revisão de entrevista de webcam baseada em IA" afirmam auxiliar no uso adequado de iluminação, filtros de vídeo e na abordagem do candidato à conversa.
O Okta Threat Intelligence avalia que as simulações de entrevistas encenadas por agentes de IA podem ser usadas para avaliar a eficácia das sobreposições deepfake e de respostas altamente roteirizadas a perguntas comuns, para diminuir a chance de sua decepção ser descoberta.
6. Chatbots baseados em LLM
Embora a maioria dos aplicativos GenAI usados pelos facilitadores esteja diretamente relacionada ao treinamento e recrutamento, o Okta Threat Intelligence também os observou fazendo login constantemente em chatbots baseados em LLM.
Analisando padrões de atividade, essas ferramentas GenAI generalizadas parecem ser amplamente utilizadas em todo o processo de recrutamento, bem como por candidatos bem-sucedidos, uma vez que conseguem emprego.
7. Serviços de treinamento de código
Também foi observado que os candidatos se inscreveram em serviços gratuitos que oferecem treinamento em linguagens de desenvolvimento específicas e ferramentas de IA. Essas plataformas de treinamento oferecem uma conscientização superficial sobre habilidades de desenvolvimento desconhecidas exigidas por uma organização contratante na entrevista e o mínimo necessário para manter o emprego pelo maior tempo possível.
“Usuários avançados” de IA
Os facilitadores empregam extensivamente ferramentas aprimoradas por IA para ajudar trabalhadores com habilidades mínimas e que não são falantes nativos de inglês a manterem posições de engenharia de software, permitindo que eles canalizem os ganhos para o regime sancionado da Coreia do Norte (DPRK). A escala das operações observadas sugere que mesmo o emprego de curto prazo por algumas semanas ou meses, quando dimensionado com automação e GenAI, pode apresentar uma oportunidade econômica viável para a DPRK.
Controles de mitigação
Para mitigar a ameaça representada por essas campanhas, a Okta Threat Intelligence recomenda:
Verificação de identidade
Incorporando a Verificação de Identidade em processos de negócios importantes
Treinamento e Relatórios
Treinamento da equipe para identificar indicadores comuns de comportamento fraudulento
Detectando o uso não autorizado de dispositivos de acesso remoto.
Detectando o uso não autorizado de ferramentas de RMM (gerenciamento e monitoramento remoto) favorecidas por trabalhadores de TI da RPDC
Verificação de Identidade
Os esquemas de trabalhadores de TI da RPDC exploram a natureza fragmentada dos processos de contratação em grandes organizações. A maioria das organizações hoje usa fornecedores, parceiros, freelancers e trabalhadores contingentes extensivamente como parte de sua empresa estendida.
As organizações são mais vulneráveis quando a verificação de identidade é realizada em silos em diferentes etapas do processo de contratação. O risco aumenta ainda mais quando agências de emprego externas são contratadas para executar uma ou mais das tarefas críticas do processo - seja anunciando uma posição, conduzindo entrevistas, lidando com contratos ou com a logística de integração de um novo trabalhador contingente. Em qualquer etapa deste processo, surgem oportunidades para facilitadores locais pagos fornecerem documentação de verificação - ou mesmo para participarem de uma entrevista - para ajudar um candidato a prosseguir para a próxima etapa.
O Okta Workforce Identity agora inclui métodos para adicionar um serviço de verificação de identidade como um provedor de identidade. Um serviço de verificação de identidade de terceiros normalmente solicita que um usuário forneça um documento de identidade emitido pelo governo e solicita que ele tire uma selfie para satisfazer uma verificação de vivacidade. Quando configurado como um provedor de identidade no Okta, você pode configurar a solução para ser aplicada durante os momentos mais arriscados no ciclo de vida de um usuário, como recrutamento, integração de usuário e recuperação da conta.
Recomendamos que a verificação de identidade seja aplicada de forma consistente, desde o processamento de aplicações, passando por entrevistas, aceitação de ofertas, assinatura de contratos e integração. Cada revalidação sucessiva da identidade de um indivíduo cria uma “cadeia de confiança” ao longo do processo.
A Okta configurou recentemente uma integração com a Persona, um serviço líder de verificação de identidade, para proteger os fluxos de inscrição e recuperação de autoatendimento para nossos próprios funcionários e prestadores de serviços. Esta implementação, que é descrita em detalhes em um artigo no blog, informou a abordagem que a Okta agora recomenda aos clientes.
Treinamento e relatórios
A identificação de atividades fraudulentas de emprego exige parcerias profundas entre as equipes de segurança, as equipes de talentos e as funções de compras para garantir que as verificações de antecedentes e a verificação de identidade sejam realizadas de forma consistente, independentemente de o candidato estar sendo contratado ou contratado por meio de terceiros.
Os seguintes sinais de alerta são comuns, mas não exclusivos, a aplicativos fraudulentos para emprego. Dado que os indivíduos envolvidos nesses esquemas evoluíram significativamente suas técnicas ao longo do tempo para melhorar sua taxa de sucesso, prevemos a necessidade de adaptar e adicionar continuamente a esta lista.
Sinais de alerta (treinamento e relatório)
Durante o recrutamento:
- Um candidato expressa preferência por aplicativos baseados em chat em vez de chamadas de voz e vídeo, citando cobertura de internet ruim ou outros pretextos semelhantes.
- Um candidato fornece dados inconsistentes em vários estágios do processo (nome, localização, informações de contato, formação e histórico profissional)
- Os metadados da videoconferência remota colocam o candidato em um local acentuadamente diferente do que foi fornecido em seu aplicativo
- Um candidato parece estar utilizando ferramentas GenAI para responder a perguntas durante o processo de entrevista.
- Um candidato fornece respostas para perguntas comuns que parecem ser roteirizadas
- O rosto de um candidato parece ser alterado digitalmente em tempo real e ele se recusa quando desafiado a levantar uma mão ou objeto na frente de seu rosto.
Durante a oferta:
- Um candidato bem-sucedido está disposto a aceitar taxas mais baixas pelo seu trabalho ou a procurar métodos de pagamento não ortodoxos
- Um candidato aprovado solicita uma alteração nos endereços de entrega de dispositivos emitidos pela empresa
- As informações fornecidas durante as verificações de antecedentes são inconsistentes com as informações fornecidas na inscrição do candidato (como formação acadêmica, histórico de emprego ou localização)
Durante a integração e emprego:
- Um prestador de serviços ou funcionário está frequentemente indisponível para chamadas de vídeo agendadas com colegas, muitas vezes usando emergências familiares ou doenças como motivo
- Um prestador de serviços ou funcionário não está disposto a mostrar seu histórico quando solicitado a aparecer em videochamadas
- Um prestador de serviços ou funcionário tem dificuldades intermitentes para fazer login nos sistemas da empresa
- Um prestador de serviços ou funcionário demonstra um desempenho fraco em relação às competências e capacidades avaliadas durante o processo de entrevista
- As horas trabalhadas por um prestador de serviços ou funcionário são inconsistentes com o horário comercial ou o fuso horário em que foram contratados
- Um prestador de serviços ou funcionário solicita alterações nas informações de pagamento, devido a problemas com sua conta bancária
Detectar o uso de ferramentas de acesso remoto não autorizadas
Outros controles críticos incluem aqueles que impedem ou detectam a instalação de ferramentas e dispositivos de acesso remoto não autorizados - especialmente aqueles comumente usados em laptop farms - instalados ou conectados a dispositivos emitidos pela empresa.
Um IP-KVM é um dispositivo de hardware que permite acesso e controle remoto de computadores por meio de uma conexão de rede. Dispositivos pequenos e de baixo custo estão disponíveis e transmitem sinais de teclado, vídeo e mouse (“KVM”) para usuários remotos sem a necessidade de instalação de software no dispositivo. Isso os torna difíceis de detectar usando ferramentas tradicionais de detecção e resposta de endpoint. Não temos conhecimento de nenhuma assinatura fornecida por fornecedores de EDR que seja projetada especificamente para detectar o uso de tais dispositivos.
Observando relatos do uso extensivo de dispositivos IP-KVM sendo usados para habilitar o acesso remoto a laptops em fazendas de laptops DPRK, o Okta Threat Intelligence testou vários deles para desenvolver várias abordagens de detecção.
Membros de nossa equipe publicaram agora um conjunto de observáveis relacionados a esses dispositivos, que estão disponíveis para clientes Okta em security.okta.com. Observe que esses dispositivos podem ser usados para fins legítimos - ou não sancionados, mas benignos - por funcionários e, por si só, não são um indicador da atividade da RPDC.
Com base nas conclusões de nossa pesquisa, recomendamos fortemente a implementação de vários métodos de detecção e a adoção de uma abordagem baseada em risco para determinar se um dispositivo IP-KVM conectado a um host está sendo usado de forma maliciosa.
Apêndice: Leitura Adicional
- Exposing DPRK's Cyber Syndicate and Hidden IT Workforce - DTEX - May 2025
- Engenheiro Falso - Fraude Avançada de Deepfake e Como Detectá-la - Vidoc Security - Março de 2025
- Two North Korean Nationals and Three Facilitators Indicted for Multi-Year Fraudulent Remote Information tecnologia Worker Scheme that Generated Revenue for the Democratic People’s Republic of Korea - US Department of Justice - January 2025
- Quatorze cidadãos norte-coreanos indiciados por realizar um esquema fraudulento de trabalhador de tecnologia da informação por vários anos e extorsões relacionadas - Departamento de Justiça dos EUA - Dezembro de 2024
- Advisory on North Korean IT Workers - Office of Financial Sanctions implementação, HM Treasury - September 2024
- Departamento de Justiça interrompe esquemas de fraude de trabalhadores de TI remotos norte-coreanos por meio de acusações e prisão de facilitador de Nashville - Departamento de Justiça dos EUA - agosto de 2024
- Encontramos engenheiros norte-coreanos em nossa Pilha de aplicativos. Veja o que nossos fundadores ex-CIA fizeram sobre isso - Blog Cinder - Agosto de 2024
- Como um trabalhador de TI falso norte-coreano tentou infiltrar-se em nós - KnowBe4 conscientização sobre segurança Treinamento - Julho de 2024
- The North Korean IT Workers (podcast) - Mandiant - July 2024
- Acusações e apreensões em esquema de fraude com o objetivo de negar receita para trabalhadores Associados à Coreia do Norte - Departamento de Justiça dos EUA - maio de 2024
- Número do Alerta: I-101823-PSA - Departamento Federal de Investigação dos EUA - Outubro de 2023
- Departamento de Justiça anuncia ação autorizada pelo tribunal para interromper os esforços de geração de receita ilícita de trabalhadores de tecnologia da informação da República Popular Democrática da Coreia - Departamento de Justiça dos EUA - Outubro de 2023
- Treasury Targets DPRK Malicious Cyber and Illicit IT Worker Activities - May 2023 - US Department of the Treasury
- Aviso sobre os Trabalhadores de Tecnologia da Informação da República Popular Democrática da Coreia - República da Coreia - Ministério das Relações Exteriores - Fevereiro de 2023
- Orientações sobre os trabalhadores de tecnologia da informação da RPDC - Departamento do Tesouro dos EUA - Maio de 2022
Uma nota sobre a linguagem de estimativa
As equipas da Okta Threat Intelligence utilizam os seguintes termos para expressar a probabilidade, tal como definido na Diretiva 203 da Comunidade de Inteligência do Gabinete do Diretor de Inteligência Nacional dos EUA - Normas Analíticas.
| Probabilidade | Quase nenhuma chance | Muito improvável | improvável | Aproximadamente mesma hipótese | Provável | Muito provável | Quase certamente |
|---|---|---|---|---|---|---|---|
| Probabilidade | Remoto | Altamente improvável | Improbable | Aproximadamente chances iguais | Provável | Altamente Provável | Quase Certeza |
| Porcentagem | 1–5% | 5-20% | 20–45% | 45-55% | 55-80% | 80-95% | 95-99% |
