Golpe Norte-Coreano: Como Falsos Profissionais de TI Enganaram Empresas dos EUA

Em um mundo onde o trabalho remoto se tornou a norma, a verificação de identidade é o novo firewall. Mas o que acontece quando o seu novo colega de TI, contratado para trabalhar do outro lado do país, é na verdade um agente estatal do outro lado do mundo? Essa não é a sinopse de um filme de espionagem, mas um esquema real desmantelado pelo Departamento de Justiça dos EUA (DOJ). A agência revelou que trabalhadores de TI ligados ao governo da Coreia do Norte se infiltraram em mais de 136 empresas americanas, operando como funcionários remotos para gerar receita para o regime de Kim Jong Un. A operação, segundo o comunicado oficial, arrecadou mais de US$ 2,2 milhões, destinados diretamente ao financiamento do programa de armas nucleares do país.

A Anatomia de um Golpe Transcontinental

Pense neste esquema como um ecossistema complexo de fraude. De um lado, você tem os desenvolvedores e especialistas de TI norte-coreanos, altamente qualificados, mas impedidos de trabalhar legalmente devido a sanções internacionais. Do outro, o aquecido mercado de tecnologia dos EUA, faminto por talentos e cada vez mais aberto a contratações remotas. Para conectar esses dois mundos, era necessária uma 'ponte' — uma rede de facilitadores que funcionava como a infraestrutura para a fraude.

De acordo com os documentos divulgados pelo DOJ e noticiados pelo portal TechCrunch, esses facilitadores eram peças-chave na operação. Eles forneciam identidades roubadas de cidadãos americanos ou até mesmo usavam as suas próprias para que os norte-coreanos pudessem se candidatar às vagas. O passo seguinte era ainda mais audacioso: os facilitadores hospedavam laptops corporativos em suas casas nos EUA. Isso criava a ilusão de que o funcionário estava fisicamente no país, enganando os sistemas de segurança e RH das empresas. Era a materialização do conceito de 'proxy humano', onde uma pessoa servia de terminal físico para um operador a milhares de quilômetros de distância.

Os Facilitadores: As Conexões Locais do Esquema

A investigação do DOJ não se limitou a apontar o problema; ela identificou e processou os responsáveis por manter essa estrutura funcionando. Cinco pessoas já se declararam culpadas por suas participações. Entre elas estão três cidadãos americanos: Audricus Phagnasay, Jason Salazar e Alexander Paul Travis. Este último, um detalhe alarmante, era um militar da ativa do Exército dos EUA durante o esquema. O trio admitiu ter ajudado os trabalhadores norte-coreanos a obter os empregos, gerenciar os laptops remotos e até mesmo a passar por procedimentos de verificação, como exames toxicológicos. Pelos seus serviços, Travis recebeu mais de US$ 50.000, enquanto Phagnasay e Salazar ganharam pelo menos US$ 3.500 e US$ 4.500, respectivamente.

A rede de apoio não parava por aí. Erick Ntekereze Prince, outro americano, operava uma empresa chamada Taggcar, que fornecia supostos trabalhadores de TI 'certificados' para companhias americanas, sabendo que eles usavam identidades falsas e operavam de fora do país. Ele faturou mais de US$ 89.000. Já o cidadão ucraniano Oleksandr Didenko era especializado em criar e vender as identidades falsas, permitindo que os norte-coreanos se infiltrassem em mais de 40 empresas. Como parte de seu acordo de culpa, Didenko concordou em entregar US$ 1,4 milhão.

Além do Salário: Cripto e a Geração de Receita Estatal

O esquema de trabalho remoto, embora lucrativo, é apenas uma das vertentes da estratégia norte-coreana para contornar sanções. Conforme detalhado pelo DOJ, o país opera um segundo grande esquema focado em ataques cibernéticos a plataformas de criptomoedas, conduzidos pelo infame grupo militar APT38. Em uma ação paralela, as autoridades americanas anunciaram o confisco de mais de US$ 15 milhões em criptomoedas roubadas por hackers norte-coreanos em 2023.

Essas duas frentes — a infiltração de trabalhadores e os roubos de criptoativos — fazem parte de uma iniciativa maior do governo americano, chamada DPRK RevGen, que busca desarticular as fontes de receita do regime. Fica claro que não se trata de crimes isolados, mas de uma operação de estado coordenada, onde cada dólar e cada criptomoeda roubada serve a um propósito geopolítico maior. A interoperabilidade entre o crime cibernético e a fraude de identidade mostra um nível de sofisticação que exige uma resposta igualmente integrada das autoridades e das empresas.

A revelação serve como um alerta contundente para o mundo corporativo. Em um ecossistema de trabalho global e digital, como garantir que as conexões que estabelecemos são seguras? O caso expõe a fragilidade dos processos de verificação de identidade e reforça a necessidade de as empresas investirem em tecnologias mais robustas para validar quem está do outro lado da tela. Afinal, a segurança da rede de uma empresa é tão forte quanto seu elo mais fraco, e neste caso, o elo era o próprio processo de contratação.