Como a Coreia do Norte se infiltrou na indústria criptográfica

Como jornalista investigativo experiente, com anos de experiência em desvendar narrativas complexas, fico cada vez mais intrigado com esta saga que parece entrelaçar o mundo digital e as atividades clandestinas da Coreia do Norte. A história de Anthony Keller, ou os muitos pseudônimos que ele pode ter assumido, é fascinante. Não é todo dia que você se depara com um personagem que parece ser um camaleão no mundo da TI, deixando um rastro de contribuições em diversos projetos.

Nas fases iniciais de 2023, a empresa de criptomoeda Truflation se viu com uma adição inesperada à sua equipe – um cidadão norte-coreano, que na época era desconhecido do fundador da empresa, Stefan Rust.

De sua casa na Suíça, Rust frequentemente procurava desenvolvedores qualificados. Inesperadamente, um desenvolvedor apareceu em cena.

Inicialmente, Ryuhei enviou seu currículo via Telegram, informando que era residente no Japão. No entanto, logo após o emprego, algumas discrepâncias incomuns começaram a surgir.

Em determinado momento, “eu estava conversando com alguém e ele alegou que sofreu um terremoto”, relembrou Rust. No entanto, não houve um terremoto recente no Japão. Posteriormente, essa pessoa começou a ignorar as ligações e, quando elas finalmente apareceram, “não era a mesma pessoa”, afirmou Rust. “Foi outra pessoa.” O indivíduo que apareceu não tinha mais sotaque japonês.

Em pouco tempo, Rust descobriu que “Ryuhei” e quase um terço de sua equipe eram na verdade cidadãos da Coreia do Norte, junto com outros quatro colegas. Infelizmente, Rust tornou-se inadvertidamente parte de um plano cuidadosamente orquestrado pela Coreia do Norte para adquirir oportunidades de trabalho remoto para o seu povo e transferir os rendimentos para Pyongyang.

As autoridades americanas têm soado cada vez mais alarmes de que os profissionais de tecnologia norte-coreanos estão a penetrar nas indústrias tecnológicas, incluindo empresas de criptomoedas, e a utilizar os lucros para financiar o programa de armamento nuclear da sua nação desonesta. Um relatório de 2024 das Nações Unidas estima que estes trabalhadores de TI geram até 600 milhões de dólares anualmente para o regime de Kim Jong Un.

Como pesquisador, percebi que o envolvimento involuntário na contratação e remuneração de trabalhadores poderia potencialmente violar as sanções das Nações Unidas e ser considerado ilegal nos EUA e em vários outros países. Além disso, esta ação representa um risco de segurança significativo devido ao facto de os hackers norte-coreanos terem demonstrado um padrão de infiltração em empresas através de pessoal secreto.

Como investigador que se aprofunda neste tópico, as minhas descobertas recentes revelam uma tendência alarmante: os candidatos norte-coreanos à procura de emprego têm procurado persistente e incansavelmente empresas de criptomoedas. Notavelmente, eles conseguiram passar em entrevistas, passar em verificações de antecedentes e até mesmo ostentar registros impressionantes de contribuições de software de código aberto no GitHub.

Mais de uma dúzia de empresas de criptomoeda admitiram empregar involuntariamente profissionais de tecnologia da informação vindos da Coreia do Norte, também conhecida como República Popular Democrática da Coreia. A CoinDesk conversou com essas empresas.

A partir de entrevistas com vários profissionais da área de criptografia, incluindo fundadores, pesquisadores de blockchain e especialistas, parece que um número maior de trabalhadores de TI norte-coreanos está envolvido na indústria de criptomoedas do que se acreditava anteriormente. Na verdade, muitos gerentes de recrutamento consultados pela CoinDesk para este artigo admitiram entrevistar potenciais desenvolvedores norte-coreanos, contratando-os sem saber ou conhecendo outras pessoas que o fizeram.

Em termos simples, Zaki Manian, uma figura bem conhecida no desenvolvimento de blockchain, afirmou que o número de candidatos a empregos ou indivíduos que expressam interesse na indústria de criptografia, provavelmente provenientes da Coreia do Norte, excede 50%. Ele mencionou isso depois de contratar involuntariamente dois trabalhadores de TI da Coreia do Norte para trabalhar no blockchain do Cosmos Hub em 2021. Ele também observou que todos estão achando difícil selecionar esses candidatos.

Entre os empregadores desavisados ​​da Coreia do Norte, conforme descoberto pela CoinDesk, estavam vários empreendimentos de blockchain respeitáveis, incluindo Cosmos Hub, Injective, ZeroLend, Fantom, Sushi e Yearn Finance. “Isso está acontecendo em segredo”, disse Manian.

Pela primeira vez, estas empresas admitiram abertamente que, por engano, empregaram trabalhadores de tecnologias de informação da Coreia do Norte.

Na maioria dos casos, os trabalhadores norte-coreanos desempenhavam as suas tarefas de forma muito semelhante aos trabalhadores normais. Consequentemente, os empregadores geralmente recebiam o valor do seu pagamento. No entanto, uma investigação da CoinDesk descobriu provas de que estes trabalhadores transferiram posteriormente os seus ganhos para carteiras de criptomoedas ligadas à administração norte-coreana.

De acordo com uma investigação da CoinDesk, descobriu-se que vários projetos de criptografia que contrataram trabalhadores de TI norte-coreanos sofreram posteriormente hacks. Em certos casos, a CoinDesk poderia conectar os roubos diretamente a supostos funcionários de TI norte-coreanos na folha de pagamento das empresas. Um exemplo é o Sushi, um conhecido protocolo financeiro descentralizado, que sofreu um hack de US$ 3 milhões em 2021 e pode ter envolvido pessoal de TI da Coreia do Norte.

Em 2022, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA e do Departamento de Justiça começou a fazer anúncios públicos sobre os esforços da Coreia do Norte para penetrar na indústria americana de criptomoedas. No entanto, as investigações da CoinDesk revelaram que os trabalhadores de TI norte-coreanos já haviam trabalhado em empresas de criptografia usando identidades falsas já em 2018.

Manian afirmou: “Muitos parecem acreditar que este evento recente não tem precedentes. No entanto, se você olhar suas contas no GitHub ou outras plataformas relacionadas, descobrirá que elas estão ativas desde 2016, 2017 e até 2018. ” (O GitHub, uma plataforma de propriedade da Microsoft, é onde várias organizações de software hospedam códigos para a colaboração dos desenvolvedores.)

1) De acordo com a CoinDesk, eles vincularam trabalhadores de TI norte-coreanos a diferentes empresas através de vários meios, como registros de transações blockchain, contribuições públicas de codificação do GitHub, e-mails de funcionários do governo dos EUA e entrevistas com as próprias empresas-alvo. Um dos principais sistemas de pagamento norte-coreanos examinados pela CoinDesk foi inicialmente descoberto por ZachXBT, um investigador de blockchain que divulgou uma lista de supostos desenvolvedores da RPDC em agosto.

Anteriormente, os empregadores optaram por não se manifestar devido a receios sobre publicidade negativa ou potenciais consequências legais. No entanto, confrontadas com extensos registos financeiros e outras provas descobertas pela CoinDesk, várias destas entidades optaram por divulgar as suas experiências pela primeira vez, revelando as invasões massivas que a Coreia do Norte fez no setor das criptomoedas.

Documentos falsos

Após a adição de Ryuhei, o membro da equipe aparentemente japonês, a empresa Truflation de Rust experimentou um fluxo de pedidos de emprego. Em poucos meses, Rust recrutou, sem saber, quatro desenvolvedores adicionais da Coreia do Norte, que afirmavam estar baseados em Montreal, Vancouver, Houston e Cingapura.

O campo das criptomoedas apresenta uma oportunidade única para ataques cibernéticos por parte de profissionais de TI qualificados da Coreia do Norte. Dada a natureza mundial deste setor, as empresas criptográficas estão frequentemente abertas à contratação de programadores localizados remotamente ou mesmo anónimos, tornando-os alvos potencialmente vulneráveis.

A CoinDesk examinou os pedidos de emprego apresentados pela República Popular Democrática da Coreia (RPDC), que foram recebidos de várias fontes, como aplicativos de mensagens como Telegram e Discord, plataformas especializadas de trabalho em criptografia, como Crypto Jobs List, e sites de contratação em geral, como o Even.

De acordo com Taylor Monahan, gerente de produto do aplicativo de carteira criptografada MetaMask, que frequentemente compartilha insights sobre as atividades de criptomoeda norte-coreanas, as equipes que têm mais sucesso em encontrar emprego são as startups jovens e inovadoras. Essas startups tendem a não ter procedimentos de contratação estabelecidos que exijam verificação de antecedentes. Em vez disso, muitas vezes pagam seus funcionários em criptomoedas.

Em termos mais simples, Rust afirmou que eles realizaram pessoalmente processos de verificação para cada novo recruta na Truflation. Isso envolveu receber seus passaportes e documentos de identificação, fornecer-nos seus projetos GitHub, realizar um teste e, por fim, recebê-los na equipe.

Para um observador não qualificado, muitos documentos falsificados parecem idênticos a passaportes e vistos genuínos. No entanto, profissionais da área sugeriram que essas falsificações poderiam ter sido detectadas por agências de verificação minuciosas.

Embora seja menos comum que as startups dependam de verificadores de antecedentes profissionais, não é incomum encontrar trabalhadores de TI norte-coreanos em grandes corporações. Eles podem ser empregados diretamente ou contratados como empreiteiros. Esta afirmação foi feita por Monahan.

Escondendo-se à vista de todos

Muitas vezes, os pesquisadores da CoinDesk encontraram profissionais de TI norte-coreanos utilizando informações de blockchain de código aberto em vários negócios.

No ano passado, como analista de blockchain na Iqlusion, precisei de assistência para um projeto que visa atualizar o amplamente utilizado blockchain Cosmos Hub. Em minha busca por programadores freelance qualificados, tive a sorte de encontrar dois indivíduos talentosos que provaram ser acréscimos valiosos à nossa equipe. Juntos, realizamos com sucesso a tarefa em questão.

Manian não teve a chance de conhecer fisicamente “Jun Kai” e “Sarawut Sanit”. Antes do encontro, eles colaboraram em um projeto de software de código aberto que a THORChain, uma rede blockchain intimamente relacionada, apoiou financeiramente. Eles informaram a Manian que sua base de operações era Cingapura.

Manian mencionou que conversou regularmente com eles quase todos os dias durante um ano inteiro. Simplificando, eles cuidaram de suas responsabilidades e, na verdade, ele ficou bastante satisfeito com o resultado.

Aproximadamente dois anos após a conclusão do projeto dos freelancers, Manian recebeu um e-mail de um agente do FBI examinando transações de tokens que pareciam originar-se da Iqlusion e se dirigiam a contas suspeitas de criptomoedas norte-coreanas vinculadas a endereços de carteiras. As transações sob investigação foram pagamentos feitos pela Iqlusion a Kai e Sanit.

Embora o FBI não tenha verificado a Manian que seus desenvolvedores contratados eram representantes da Coreia do Norte (RPDC), o exame da CoinDesk das carteiras blockchain de Kai e Sanit revelou que em 2021 e 2022, eles transferiram seus ganhos para dois indivíduos no Escritório de Ativos Estrangeiros Lista de sanções do Controle (OFAC): Kim Sang Man e Sim Hyon Sop.

De acordo com a OFAC, Sim é reconhecido como representante do Kwangson Banking Corp, um banco norte-coreano conhecido por lavar fundos de trabalhadores de TI. Esta actividade apoia alegadamente o financiamento dos programas de armas de destruição maciça (ADM) e de mísseis balísticos da RPDC. Parece que Sarawut tem transferido todos os seus ganhos para o Sim e várias carteiras blockchain vinculadas ao Sim.

Em outro desenvolvimento, Kai transferiu aproximadamente US$ 8 milhões diretamente para Kim. É importante notar que, de acordo com um comunicado da OFAC de 2023, Kim é um representante da Chinyong Information Technology Cooperation Company, que está associada à Coreia do Norte. Esta empresa, através de empresas que controla e dos seus representantes, destaca equipas de trabalhadores de TI norte-coreanos que trabalham na Rússia e no Laos.

A remessa de Iqlusion para Kai foi significativamente inferior a US$ 50.000 em comparação com os quase US$ 8 milhões que ele transferiu para Kim, com alguns fundos adicionais provenientes de outras empresas de criptomoeda constituindo o restante.

De acordo com o CoinDesk, os pagamentos foram rastreados desde a Fantom Foundation, criadora do popular blockchain Fantom, até “Jun Kai” e outro desenvolvedor com ligações com a Coreia do Norte.

Como investigador, eu reformularia a questão da seguinte forma: “Nas minhas descobertas do ano passado, descobri dois indivíduos fora da nossa equipa que tinham ligações com a Coreia do Norte. Estes indivíduos estavam associados a um projecto externo que permaneceu inacabado e não implementado.

Conforme declarado pela Fantom Foundation, “Os dois indivíduos em questão foram demitidos, eles nunca escreveram nenhum código prejudicial e nunca obtiveram acesso à nossa base de código do Fantom. Nenhum usuário do Fantom foi afetado.” No entanto, um dos trabalhadores da Coreia do Norte teria tentado um ataque aos servidores do Fantom, mas não teve sucesso devido a direitos de acesso insuficientes, conforme explicou o porta-voz.

Conforme relatado pelo banco de dados OpenSanctions, somente em maio de 2023 é que qualquer governo associou publicamente os endereços blockchain de Kim vinculados à RPDC; isso ocorreu mais de dois anos depois, quando Iqlusion e Fantom processaram suas transações.

Margem de manobra dada

Os EUA e a ONU sancionaram a contratação de trabalhadores de TI da RPDC em 2016 e 2017, respetivamente.

É ilegal pagar trabalhadores norte-coreanos nos EUA, quer você saiba que está fazendo isso ou não – um conceito legal chamado “responsabilidade objetiva”.

Independentemente da localização de uma empresa, esta poderá enfrentar potenciais consequências jurídicas ao empregar trabalhadores da República Popular Democrática da Coreia (RPDC), uma vez que tais ações podem entrar em conflito com sanções comerciais impostas por certas nações que fazem negócios com elas.

No entanto, continua a ser verdade que nenhuma empresa de criptografia foi levada a julgamento pelos EUA ou por qualquer outro estado membro das Nações Unidas por empregar profissionais de TI norte-coreanos.

Foi o Departamento do Tesouro dos EUA que iniciou uma investigação sobre a Iqlusion, uma empresa localizada nos Estados Unidos. No entanto, de acordo com as declarações de Manian, esta investigação terminou sem sanções ou penalidades impostas.

As autoridades norte-americanas demonstraram um certo grau de compreensão e flexibilidade ao não apresentarem imediatamente queixa contra estas empresas, uma vez que parecem ter sido enredadas numa forma excepcionalmente complexa e avançada de fraude de identidade, ou no que poderia ser considerado uma fraude prolongada e profundamente embaraçosa.

Em termos mais simples, Monahan da MetaMask afirmou que, embora as questões jurídicas possam não estar diretamente envolvidas, o ato de compensar os trabalhadores de TI da RPDC pode ser problemático, uma vez que estão essencialmente a ser explorados pelo seu regime.

De acordo com o relatório de 615 páginas do Conselho de Segurança das Nações Unidas, os trabalhadores de TI na República Popular Democrática da Coreia retêm uma parte modesta do seu salário. Especificamente, o relatório indica que aqueles com rendimentos mais baixos retêm cerca de 10%, enquanto os que ganham mais podem ficar com até 30%.

De uma forma mais simples, Monahan expressou: “Não importa onde essas pessoas trabalham, mas se eu as pago e elas são obrigadas a entregar todos os seus ganhos ao seu supervisor – que por acaso é o governo norte-coreano – isso me deixaria desconfortável. Ficaria ainda mais preocupado se esse supervisor fosse o próprio regime norte-coreano.

Durante a nossa investigação, tentámos contactar vários indivíduos que se acredita serem trabalhadores de TI da RPDC, mas nenhuma resposta foi recebida deles.

Seguindo em frente

A CoinDesk descobriu mais de duas dúzias de empresas que podem ter contratado trabalhadores de tecnologia norte-coreanos examinando transações de blockchain vinculadas a organizações sob sanções dos EUA. Doze dessas empresas reconheceram à CoinDesk que de fato descobriram suspeitos de pessoal de TI norte-coreano em suas folhas de pagamento anteriores.

Outros optaram por permanecer em silêncio devido a potenciais consequências legais, mas alguns estavam dispostos a recontar as suas histórias, na esperança de que os seus relatos pudessem ajudar outros a navegar em situações semelhantes.

Em muitos casos, os funcionários da RPDC revelaram-se mais fáceis de identificar depois de terem sido contratados.

Como Eric Chen, CEO do Injective – um projeto dedicado ao domínio das finanças descentralizadas – contratei um desenvolvedor freelance em 2020. No entanto, devido ao desempenho abaixo da média, achei necessário me separar desse indivíduo desde o início.

Chen comentou: “Seu mandato foi breve”, indicando que o indivíduo estava produzindo código de baixa qualidade que frequentemente apresentava mau funcionamento. Só recentemente, durante o ano passado, Chen descobriu, através do contacto de uma agência governamental dos EUA com a Injective, que este funcionário tinha ligações com a Coreia do Norte.

Várias empresas informaram à CoinDesk que já haviam rescindido o contrato de trabalho de um funcionário antes de descobrirem quaisquer vínculos com a RPDC, geralmente devido ao mau desempenho no trabalho.

‘Folha de pagamento do leite por alguns meses’

No entanto, os trabalhadores de TI da RPDC são semelhantes aos programadores típicos, na medida em que as suas aptidões podem variar.

Por um lado, alguns funcionários podem comparecer a entrevistas, receber seus salários por alguns meses sem contribuir significativamente, segundo Manian. Por outro lado, existem indivíduos cujas habilidades técnicas durante o processo de entrevista realmente brilham.

Rust mencionou que havia um desenvolvedor excepcional na Truflation que afirmava ser de Vancouver, mas na verdade era da Coreia do Norte. Ele descreveu esse indivíduo como sendo bastante jovem, parecendo recém-saído da faculdade, com um toque de inexperiência, mas ansioso e entusiasmado com a oportunidade de emprego.

Além disso, foi relatado que a Cluster, uma empresa especializada em finanças descentralizadas, demitiu dois dos seus desenvolvedores em agosto, após alegações feitas pela ZachXBT sobre a sua ligação ao governo da Coreia do Norte (RPDC).

Z3n, o criador anônimo do Cluster, compartilhou com a CoinDesk que era surpreendente quanto conhecimento esses indivíduos pareciam possuir. Olhando para trás, havia sinais de alerta distintos. Por exemplo, eles alteravam seu endereço de pagamento a cada duas semanas e ocasionalmente trocavam seu nome de usuário do Discord ou Telegram mensalmente.

Webcam desligada

Durante as discussões com a CoinDesk, vários empregadores apontaram comportamentos incomuns que ficaram mais claros quando descobriram que seus funcionários poderiam ser de origem norte-coreana.

Como pesquisador, ocasionalmente encontrei indicadores sutis que pareciam peculiares. Por exemplo, os horários de trabalho relatados por alguns funcionários pareciam diferir significativamente dos locais declarados, sugerindo possíveis discrepâncias ou acordos de trabalho não convencionais.

Vários outros locais de trabalho, como a Truflition, começaram a observar sinais que sugeriam que um trabalhador poderia, na verdade, ser vários indivíduos fingindo ser uma única pessoa – um facto que tentaram esconder desativando a sua webcam. (Normalmente, eram os homens que se envolviam nesta prática).

Um trabalhador de uma empresa apareceu nas reuniões matinais, mas parecia incapaz de se lembrar das discussões dessas sessões à medida que o dia avançava – uma peculiaridade que se tornou mais clara quando descobriu que este indivíduo estava conversando com várias pessoas ao longo do dia.

Quando Rust compartilhou suas preocupações em relação a Ryuhei, seu funcionário de origem japonesa, com um investidor que tinha conhecimento sobre monitoramento de transações financeiras ilícitas, o investidor imediatamente descobriu os quatro indivíduos adicionais do setor de TI da Coreia do Norte que também trabalhavam para a Truflation.

Ao perceber a necessidade, cortamos rapidamente todas as conexões, explicou Rust. Posteriormente, nossa equipe realizou uma revisão completa de nosso código para fins de segurança, fortaleceu nossos procedimentos de verificação de antecedentes e fez alguns ajustes em nossas políticas existentes. Uma dessas mudanças foi impor o uso de câmeras entre trabalhadores remotos.

Um hack de US$ 3 milhões

Várias empresas entrevistadas pela CoinDesk acreditavam incorretamente que os trabalhadores de TI da RPDC funcionam de forma autônoma em relação à divisão de hackers da Coreia do Norte; no entanto, as evidências provenientes de dados de blockchain e discussões com especialistas sugerem uma ligação frequente entre as operações de pirataria informática do regime e a sua força de trabalho de TI.

Em setembro de 2021, uma plataforma de lançamento de tokens de criptomoeda chamada MISO, desenvolvida pela Sushi, sofreu um roubo no valor de US$ 3 milhões. Este incidente de alto perfil foi amplamente coberto pela CoinDesk. A investigação revelou possíveis laços entre o ataque e dois desenvolvedores contratados pela Sushi que tinham transações anteriores vinculadas a pagamentos blockchain originários da Coreia do Norte.

Durante o ataque cibernético, o Sushi foi uma das plataformas mais discutidas na esfera de rápido crescimento das Finanças Descentralizadas (DeFi). Mais de US$ 5 bilhões em ativos já haviam sido armazenados no SushiSwap, funcionando principalmente como uma “plataforma de negociação descentralizada”, onde indivíduos podiam trocar criptomoedas sem precisar de intermediários.

Joseph Delong, que era diretor de tecnologia do Sushi na época, descobriu que o roubo do MISO foi realizado por dois programadores independentes, conhecidos como Anthony Keller e Sava Grujic durante o desenvolvimento. Delong agora acredita que esses desenvolvedores, que ele suspeita serem uma pessoa ou grupo, inseriram código prejudicial no sistema MISO, redirecionando fundos para uma carteira que eles gerenciavam.

Ao ingressar no Sushi DAO, uma organização autônoma descentralizada que gerencia o protocolo Sushi, Keller e Grujic apresentaram qualificações que eram padrão para desenvolvedores juniores e pareciam até dignas de nota.

Em sua vida pública, Keller usava o pseudônimo “eratos1122”. No entanto, quando se candidatou para trabalhar na MISO, apresentou-se como Anthony Keller. Um currículo fornecido à CoinDesk por Delong listou a residência de Keller como Gainesville, Geórgia, e sua formação educacional como bacharelado em engenharia da computação pela Universidade de Phoenix. (A universidade não verificou se tal graduado existe.)

No currículo de Keller há referências genuínas a empregos anteriores. Uma experiência notável é com o Yearn Finance, um protocolo de investimento em criptomoeda amplamente utilizado que permite aos usuários ganhar juros por meio de várias estratégias de investimento predefinidas. Notavelmente, Banteg, um desenvolvedor-chave da Yearn, afirmou que Keller contribuiu para o Coordinape, um aplicativo desenvolvido pela Yearn para colaboração em equipe e fins de processamento de pagamentos. É importante notar que Banteg mencionou que o trabalho de Keller estava limitado ao Coordinape e ele não tinha acesso à base de código principal do Yearn Finance.

Como pesquisador, estou compartilhando uma descoberta interessante da minha investigação: Keller apresentou Grujic ao MISO e, de acordo com Delong, eles se retrataram como amigos. Curiosamente, assim como Keller, Grujic enviou um currículo com seu nome verdadeiro, em vez do pseudônimo online “AristoK3”. Ele se identificou como sendo da Sérvia e possuindo um diploma de bacharel em ciência da computação pela Universidade de Belgrado. Sua conta no GitHub estava ativa e seu currículo destacava experiência com vários projetos menores de criptomoeda e iniciativas de startups de jogos.

Antes de qualquer hack, Rachel Chu – uma ex-colaboradora importante do Sushi que frequentemente colaborava com Keller e Grujic – já havia expressado sentimentos de desconforto ou suspeita em relação a eles.

Embora supostamente vindos de locais distintos em todo o mundo, Grujic e Keller compartilhavam o mesmo sotaque e estilo de mensagens de texto, conforme mencionado por Chu. Freqüentemente, eles tinham ruído de fundo durante as conversas, sugerindo estar em um ambiente de produção, observou ela ainda. Chu lembrou-se de ter reconhecido o rosto de Keller, mas nunca o de Grujic, e explicou que a câmera de Keller estava aproximada o suficiente para impedi-la de ver qualquer coisa além dele.

Durante o pico da crise da COVID-19, Keller e Grujic cessaram o seu envolvimento na MISO por volta do mesmo ponto. Delong sugeriu que eles poderiam ser o mesmo indivíduo, levando à decisão de não continuar a compensá-los, devido à possibilidade de desenvolvedores remotos de criptografia fingirem ser várias pessoas para garantir renda adicional da folha de pagamento durante esse período.

Após a saída de Keller e Grujic no verão de 2021, a equipe Sushi não conseguiu remover suas permissões da base de código MISO.

Em 2 de setembro, Aristok3 (nome de tela de Grujic) carregou software prejudicial na plataforma MISO. Esta ação desviou aproximadamente US$ 3 milhões para uma carteira digital recém-criada, conforme evidenciado por uma captura de tela apresentada ao CoinDesk.

Com base em uma análise dos registros de transações blockchain da CoinDesk, parece haver uma possível conexão entre Keller, Grujic e a Coreia do Norte. Em março de 2021, Keller compartilhou um endereço de carteira blockchain em um tweet que já foi excluído. A CoinDesk encontrou inúmeras transações entre este endereço, uma conta de hacker vinculada a Grujic, e os endereços registrados associados a Keller pelo Sushi. Ao investigar internamente, Sushi determinou que o endereço da carteira estava de fato conectado a Keller, conforme declarado por Delong.

A CoinDesk descobriu que a conta suspeita transferiu principalmente seus fundos para um endereço vinculado a “Jun Kai”, um desenvolvedor da Iqlusion que já havia enviado dinheiro para o indivíduo restrito ao OFAC chamado Kim Sang Man. Além disso, outra carteira suspeita de atuar como proxy norte-coreana também estava entre os destinatários, já que também fazia pagamentos a Kim.

A investigação interna conduzida por Sushi fornece suporte adicional à hipótese de que Keller e Grujic são de origem norte-coreana. Esta investigação revelou que estes indivíduos trabalhavam frequentemente com endereços IP na Rússia, uma região onde a OFAC sugere que os trabalhadores de TI da Coreia do Norte poderiam estar temporariamente estacionados. (É importante notar que o número de telefone associado a Keller em seu currículo agora está desconectado e suas contas “eratos1122” no GitHub e no Twitter foram removidas.)

Além disso, a CoinDesk encontrou indicações de que Sushi tinha outro suposto contratante de TI da RPDC trabalhando simultaneamente com Keller e Grujic. Este desenvolvedor, conhecido como Gary Lee por ZachXBT, usou o pseudônimo LightFury e transferiu seus ganhos para “Jun Kai” e outro endereço vinculado a Kim, atuando como proxy.

Como investigador que investiga este cenário intrigante, encontrei-me numa situação em que Sushi, implicando abertamente o pseudónimo “eratos1122” ligado a Keller, e mesmo insinuando o envolvimento do FBI, levou a uma reviravolta inesperada nos acontecimentos. Grujic, o trabalhador de TI da RPDC em questão, devolveu os fundos furtados. Pode parecer estranho que um trabalhador de TI norte-coreano dê prioridade à salvaguarda de uma identidade fictícia, mas parece que estes indivíduos tendem a reciclar nomes específicos e a melhorar a sua posição ao longo do tempo, participando em numerosos projectos. Este poderia ser um método que utilizam para estabelecer credibilidade junto de potenciais futuros empregadores, promovendo uma reputação baseada na confiança e fiabilidade.

É possível que alguém tenha visto maiores benefícios financeiros na preservação da identidade de Anthony Keller, já que se passaram quase dois anos após o incidente do Sushi quando uma pessoa com esse nome apresentou um pedido à Truflation, empresa de propriedade de Stefan Rust, em 2023.

As tentativas de entrar em contato com “Anthony Keller” e “Sava Grujic” para comentar o assunto não tiveram sucesso.

Assaltos ao estilo da RPDC

Foi relatado pela ONU que a Coreia do Norte adquiriu ilegalmente mais de US$ 3 bilhões em criptomoedas por meio de atividades de hacking nos últimos sete anos. De acordo com a empresa de análise de blockchain Chainalysis, cerca de metade dos hacks rastreados durante o primeiro semestre de 2023 e suspeitos estão ligados à Coreia do Norte, envolvem roubos perpetrados por trabalhadores de TI. Madeleine Kennedy, representante da empresa, fez esta declaração.

Em vez da representação nos filmes de Hollywood, onde personagens vestindo moletons invadem vastos sistemas com codificação complexa e telas de computador monocromáticas, os ataques cibernéticos norte-coreanos geralmente diferem significativamente de tais representações.

Os ataques originados na RPDC tendem a ser de natureza menos sofisticada. Normalmente, eles empregam táticas de engenharia social, que envolvem ganhar a confiança de uma pessoa com acesso a um sistema. Uma vez conquistada a confiança, o invasor manipula esse relacionamento para obter acesso ao sistema por meios tão básicos quanto clicar em um link malicioso em um e-mail.

Até agora, parece que a Coreia do Norte (RPDC) apenas se envolveu em atividades como engenharia social para obter acesso a dispositivos e, posteriormente, a chaves privadas, de acordo com Monahan. Eles não mostraram nenhum sinal de realizar um ataque ou exploração cibernética direta.

Os profissionais das tecnologias da informação podem desempenhar papéis significativos em ataques cibernéticos contra a República Popular Democrática da Coreia (RPDC), quer através da obtenção de dados sensíveis que possam ser utilizados para perturbar possíveis alvos, quer através da infiltração de sistemas de software ricos em fundos digitais.

Uma série de coincidências

Em 25 de setembro, pouco antes da publicação deste artigo, houve uma videoconferência planejada entre CoinDesk e Rust from Truflation. O objetivo da ligação era verificar alguns fatos que ele havia fornecido anteriormente.

Um Rust confuso entrou na ligação com 15 minutos de atraso. Ele tinha acabado de ser hackeado.

Mais de duas dúzias de projetos que pareciam ter empregado por engano trabalhadores de TI norte-coreanos foram contatados pela CoinDesk. Na última quinzena de investigação, dois desses projetos sofreram incidentes de hackers: Truflation e um aplicativo de empréstimo de criptomoeda conhecido como Delta Prime.

Ainda não está claro se os hacks estão ligados a algum recrutamento acidental de pessoal de TI norte-coreano.

Em 16 de setembro, foi inicialmente relatado que a Delta Prime sofreu uma violação. Investigações anteriores da CoinDesk revelaram ligações entre Delta Prime e Naoki Murano, um dos desenvolvedores vinculados à Coreia do Norte, exposto por ZachXBT, um detetive anônimo de blockchain.

O projeto sofreu uma perda financeira superior a US$ 7 milhões, principalmente devido à violação de um código digital confidencial. Apesar das múltiplas tentativas, a Delta Prime recusou-se a fornecer comentários sobre este assunto.

Duas semanas após o hack do Truflation, os fundos começaram a ser drenados da carteira de criptomoedas de Rust, o que chamou sua atenção aproximadamente duas horas antes de sua ligação com o CoinDesk. Recém-saído de uma viagem a Singapura, ele ficou intrigado com o erro que poderia ter cometido. “Simplesmente não consigo entender como isso ocorreu”, admitiu. “Meus cadernos foram guardados com segurança no cofre do hotel e eu levei meu telefone comigo o tempo todo.

Grandes somas de dinheiro foram drenadas das carteiras blockchain individuais de Rust enquanto ele falava, o que é lamentável porque representa fundos para a escola de seus filhos e despesas de aposentadoria.

Truflation e Rust acabaram perdendo cerca de US$ 5 milhões. A causa oficial foi uma chave privada roubada.