Especialistas da CrowdStrike revelam que centenas de indivíduos vinculados à inteligência da Coreia do Norte têm se infiltrado em empresas de tecnologia no Ocidente atuando como trabalhadores de TI remotos sob identidades falsas ou roubadas. De acordo com o relatório interno intitulado FAMOUS CHOLLIMA, os agentes norte-coreanos obtiveram empregos em mais de 100 empresas principalmente americanas no setor de tecnologia. Em muitos casos, após a contratação, instalaram ferramentas de acesso remoto como AnyDesk, RustDesk, TinyPilot e Chrome Remote Desktop com o objetivo de exfiltrar dados sensíveis e manter acesso prolongado às redes corporativas.
Esse esquema ganhou escala com a expansão das contratações remotas após a pandemia. Relatórios recentes da CrowdStrike indicam um crescimento de 220 % no número de infiltrações de trabalhadores de TI norte-coreanos em apenas doze meses, conforme evidenciado pelo seu menu Intelligence 2025. A empresa alerta que essas contratações muitas vezes envolvem trabalhadores que entregam pouco ou nenhum trabalho legítimo, concentrando-se em coletar informações confidenciais e repassar salários ao regime de Pyongyang.
Autoridades dos Estados Unidos também confirmam a gravidade e o impacto dessa operação. Em 30 de junho de 2025, o Departamento de Justiça anunciou ações coordenadas em 16 estados americanos. Foram realizadas prisões, acordos de confissão e apreensões de laptops e contas bancárias ligadas a operações ilícitas. Os trabalhadores norte-coreanos, auxiliados por facilitadores em solo americano ou internacional, teriam sido contratados por mais de 100 empresas americanas com identidades fraudulentas. Em um dos casos, uma empresa de blockchain em Atlanta teve mais de US$ 900 000 em criptomoedas roubadas por essas redes clandestinas.
Um caso emblemático envolve a americana Christina Chapman, que admitiu operar uma ‘fazenda de laptops’ em Arizona e Minnesota. Ela carregou pelo menos 90 computadores que permitiam a conexão remota de agentes norte-coreanos a redes corporativas. Pelo esquema foram gerados ao menos US$ 17 milhões entre salários e repasses ao regime de Kim Jong-un. Chapman declarou-se culpada em processos de fraude eletrônica e lavagem de dinheiro e recebeu pena superior a oito anos de prisão.
Especialistas de empresas como DTEX, Mandiant (atual Google Cloud) e SentinelOne confirmam que muitas empresas do grupo Fortune 500 admitiram ter contratado pelo menos um desses trabalhadores, e em alguns casos vários ao mesmo tempo. Esses infiltrados ocuparam cargos como engenheiros de software full‑stack, analistas e desenvolvedores front-end, muitas vezes obtendo altos níveis de acesso aos sistemas internos das organizações.
A evolução das táticas demonstra uso avançado de inteligência artificial. Os agentes criam currículos sintéticos, utilizam deepfakes de vídeo para entrevistas remotas e contam com assistentes de código baseados em IA para executar tarefas técnicas durante o trabalho. Essas fragilidade no processo de verificação de identidade e credenciais de candidatos permitiram que muitos passassem por entrevistas e verificações sem levantar suspeitas.
As implicações deste esquema são múltiplas. Além da geração de receita ilícita para financiar programas de armamentos nucleares e de mísseis da Coreia do Norte, há um risco real de espionagem corporativa, violação de propriedade intelectual e introdução de malware em ambientes críticos. Algumas infiltrações ocorreram em empresas de defesa que lidam com tecnologias controladas pelo regime ITAR dos EUA.
Esta rede clandestina também nacionalizou facilitação nos Estados Unidos e outros países. Empresas de fachada e facilitadores domésticos foram utilizados para criar websites falsos, verificação de identidades e operação das chamadas laptop farms, estruturas fundamentais para encobrir essas operações sofisticadas.
Diante desse panorama, especialistas ciber segurança orientam empresas a revisitar processos de recrutamento remoto. Recomendações incluem entrevistas por vídeo com verificação ambiental, políticas de entrega de equipamentos pessoalmente, monitoramento de comportamento pós-contratação e auditorias de acesso remoto constantes, especialmente para cargos sensíveis ou privilegiados.
Em síntese o alerta da CrowdStrike revela uma ameaça interna sofisticada e coordenada pela Coreia do Norte, inserida no contexto global de cibercrime estatal. O impacto atinge segurança corporativa, políticas de contratação remota e aponta para um desafio crescente em proteger organizações de ameaças internas com aparência legítima.