A Coreia do Norte tem usado chamadas falsas do Zoom com IA para enganar perfis do setor de criptomoedas e esvaziar as suas carteiras em poucos minutos. Como uma simples videoconferência pode ser suficiente para assumir o controlo total dos seus dispositivos e contornar a vigilância dos mais experientes?
Um programa de grande escala com o objetivo de encher as contas públicas
Desde o início de 2020, a Coreia do Norte conduz uma operação global de infiltração em empresas por meio de seu exército de «falsos teletrabalhadores» como parte de um programa de geração de receita para o governo. Parece que parte dessa força de trabalho foi recentemente reafectada a uma nova campanha de engenharia social, desta vez visando o setor de criptomoedas.
🚨 AVISO (NOVAMENTE)
Os agentes de ameaças da Coreia do Norte ainda estão a enganar muitos de vocês através das suas reuniões falsas no Zoom / Teams.
Eles estão a assumir o controlo dos vossos Telegrams -> usando-os para enganar todos os vossos amigos.
Eles já roubaram mais de US$ 300 milhões usando esse método.
Leia isto. Pare o ciclo. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 de dezembro de 2025
Recentemente, foram roubados cerca de 300 milhões de dólares, detalha Taylor Monahan (mais conhecido pelo pseudónimo Tayvano), investigador de segurança na MetaMask.
O modo de operação é bastante conhecido e documentado, uma vez que, desde 2024, a Microsoft Threat Intelligence observa essas atividades. O atacante começa por roubar um perfil coerente e legítimo de acordo com o alvo que pretende atingir. Em seguida, cria todo um ecossistema digital em torno desse perfil roubado (mensagens, redes sociais, perfis GitHub ou LinkedIn) para estabelecer uma impressão digital legítima.
A inteligência artificial (IA) será então utilizada para aplicar a imagem do seu perfil de origem em imagens e vídeos que sirvam os seus objetivos. Também utilizam VPN, VPS, serviços proxy e ferramentas RMM para ocultar a sua geolocalização e a sua verdadeira identidade digital.
Isso também foi o que nos disse recentemente Clarisse Hagège, fundadora da Dfns, que nos contou ter sido alvo de uma tentativa de invasão realizada por três hackers norte-coreanos.
Ela também destaca que o setor de criptomoedas é um alvo privilegiado na estratégia da Coreia do Norte. Ouça a nossa entrevista completa no nosso podcast:
Os candidatos devem fornecer pelo menos três referências sobre os seus empregos anteriores. As pessoas esquecem-se de o fazer, mas funciona muito bem.
Uma campanha de engenharia social que explora plataformas como o Teams ou o Zoom
Esta estratégia é hoje reciclada e orientada para novos objetivos. Como descreve Taylor Monahan, o ataque tem origem na corrupção de uma conta Telegram legítima. Estas contas-alvo são frequentemente investidores de capital de risco ou palestrantes, perfis que podem explorar o nosso viés de autoridade.
Depois de analisar cuidadosamente o histórico das conversas da sua primeira vítima para alimentar a sua lenda, eles exploram os contactos já estabelecidos. Estes serão direcionados para reuniões no Zoom ou Teams através de um link Calendly disfarçado.
🇰🇵 Nas notícias – A Coreia do Norte estaria por trás do hack de US$ 30 milhões da Upbit
No vídeo, a vítima interage com uma gravação reciclada de um podcast ou de uma aparição pública da pessoa de autoridade. Graças a uma exploração inteligente da IA, o fluxo de vídeo parece legítimo.
O atacante simula então problemas de áudio ou vídeo. Ele pede à vítima para descarregar um SDK que lhe permite restabelecer a ligação. Este último implementa um script malicioso, instalando malware na máquina do alvo. Este cavalo de Tróia concede controlo total sobre o computador da vítima, dando acesso total às carteiras do alvo.
Reforçar a sua segurança operacional e manter-se vigilante
Para se proteger contra este tipo de ameaças, é essencial dispor de uma autenticação forte (palavra-passe forte) e multifatorial (aplicação MFA e 2FA) nas suas aplicações de comunicação.
Além disso, é importante lembrar que, durante uma conversa com o seu interlocutor, deve saber quem lhe está a escrever (autenticidade), deve saber que o que lhe está a ser escrito não foi alterado (autenticidade) e deve garantir que mais ninguém sabe o que foi trocado (confidencialidade).
Além disso, nunca descarregue pacotes de dados se não tiver a certeza da integridade e legitimidade dos mesmos. Se não for esse o caso, pode abri-los numa máquina virtual dedicada para verificar o seu conteúdo.
Por fim, em caso de comprometimento da sua conta do Telegram, elimine o seu espaço e alerte os seus contactos para os prevenir e quebrar a cadeia de fraudes.
Fique atento e tenha em mente que o seu funcionamento antropológico o expõe a vieses cognitivos (viés de autoridade, viés de familiaridade, viés de urgência…). Quando estes são explorados, é provável que seja vítima deles.
