A Coreia do Norte tem vindo a utilizar, nos últimos tempos, chamadas falsas no Zoom, potenciadas por IA, para aliciar utilizadores do setor das criptomoedas e esvaziar as suas carteiras em poucos minutos. Como é que uma simples videoconferência pode ser suficiente para assumir o controlo total dos seus dispositivos e contornar a vigilância dos mais experientes?
Um programa de grande envergadura com o objetivo de encher as contas públicas
Desde o início de 2020, a Coreia do Norte conduz uma operação global de infiltração em empresas através do seu exército de «falsos teletrabalhadores», no âmbito de um programa de geração de receitas para o governo. Parece que parte desta força de trabalho foi recentemente reafectada a uma campanha de engenharia social totalmente nova, visando, desta vez, o setor das criptomoedas.
AVISO (NOVAMENTE)
Os agentes maliciosos da RPDC continuam a prejudicar demasiados de vós através das suas reuniões falsas no Zoom / Teams.
Estão a tomar conta dos vossos Telegrams -> utilizando-os para prejudicar todos os vossos amigos.
Já roubaram mais de 300 milhões de dólares através deste método.
Leia isto. Pára este ciclo. pic.twitter.com/tJTo9lkq0v
— Tay (@tayvano_) 13 de dezembro de 2025
Recentemente, foram roubados cerca de 300 milhões de dólares, detalha Taylor Monahan (mais conhecido pelo pseudónimo Tayvano), investigador de segurança na MetaMask.
O modo de operação é bastante conhecido e documentado, uma vez que, desde 2024, a Microsoft Threat Intelligence tem vindo a observar estas atividades. O atacante começa por roubar um perfil coerente e legítimo, de acordo com o alvo que pretende atingir. Em seguida, cria todo um ecossistema digital em torno desse perfil roubado (serviços de mensagens, redes sociais, perfis no GitHub ou no LinkedIn) para estabelecer uma pegada digital legítima.
A inteligência artificial (IA) será então utilizada para sobrepor a imagem do seu perfil de origem a imagens e vídeos que sirvam os seus objetivos. Utilizam também VPNs, VPS, serviços proxy e ferramentas RMM para ocultar a sua geolocalização e a sua verdadeira identidade digital.
Foi também isso que nos indicou recentemente Clarisse Hagège, fundadora da Dfns, que nos revelou ter sido alvo de uma tentativa de intrusão levada a cabo por três hackers norte-coreanos.
Salienta ainda que o setor das criptomoedas constitui um alvo privilegiado na estratégia da Coreia do Norte. Veja a nossa entrevista completa no nosso podcast:
Os candidatos têm de fornecer pelo menos três referências sobre os seus empregos anteriores. As pessoas esquecem-se de o fazer, mas funciona muito bem.
Uma campanha de engenharia social que explora plataformas como o Teams ou o Zoom
Esta estratégia é hoje reutilizada e orientada para novos objetivos. Tal como descreve Taylor Monahan, o ataque tem origem na corrupção de uma conta legítima do Telegram. Estas contas-alvo são frequentemente investidores de capital de risco ou oradores, perfis que poderão explorar o nosso viés de autoridade.
Depois de analisarem cuidadosamente o histórico de conversas da sua primeira vítima para alimentar a sua identidade falsa, eles exploram os contactos já estabelecidos. Estes serão direcionados para reuniões no Zoom ou no Teams através de um link Calendly disfarçado.
Nas notícias – A Coreia do Norte estaria por trás do ataque de 30 milhões de dólares à Upbit
No vídeo, a vítima interage com uma gravação reutilizada de um podcast ou de uma aparição pública da pessoa de autoridade; graças a uma exploração inteligente da IA, o fluxo de vídeo parece legítimo.
O atacante simula então problemas de áudio ou vídeo. Pede à vítima que descarregue um SDK que lhe permita restabelecer a ligação. Este último executa um script malicioso, instalando um malware no computador da vítima. Este cavalo de Tróia concede controlo total sobre o computador da vítima, dando acesso total às carteiras da mesma.
Reforçar a segurança operacional e manter-se vigilante
Para se proteger deste tipo de ameaças, é fundamental dispor de uma autenticação forte (palavra-passe forte) e multifator (aplicação MFA e 2FA) nas suas aplicações de comunicação.
É igualmente importante recordar que, durante uma conversa com o seu interlocutor, deve saber quem lhe está a escrever (autenticidade), deve ter a certeza de que o que lhe é escrito não foi alterado (integridade) e deve garantir que mais ninguém tem conhecimento do que foi trocado (confidencialidade).
Além disso, nunca descarregue pacotes de dados se não tiver a certeza da integridade e da legitimidade dos mesmos. Caso contrário, pode abri-los numa máquina virtual dedicada para verificar o seu conteúdo.
Por fim, caso a sua conta do Telegram seja comprometida, elimine o seu espaço e alerte os seus contactos para os avisar e quebrar a cadeia de fraudes.
Mantenha-se vigilante e tenha em mente que o seu funcionamento antropológico o expõe a vieses cognitivos (viés de autoridade, viés de familiaridade, viés de urgência…). Quando estes são explorados, é provável que se torne uma presa fácil.