Os Estados Unidos detalharam um esquema que permitiu que trabalhadores de TI norte-coreanos conseguissem empregos remotos em empresas americanas usando identidades roubadas e fabricadas. Segundo o Departamento de Justiça, quatro cidadãos americanos e um ucraniano se declararam culpados de papéis na operação, que permitiu que trabalhadores norte-coreanos infiltrassem pelo menos 136 empresas em áreas como tecnologia, finanças, educação e entretenimento. Documentos judiciais afirmam que o esquema gerou mais de dois milhões de dólares para a Coreia do Norte, em violação às sanções dos EUA.
Promotores disseram que a rede operou entre 2019 e 2022 e contou com facilitadores baseados nos EUA que ajudaram trabalhadores norte-coreanos a passar pelos procedimentos de triagem dos empregadores. Os facilitadores forneceram identidades roubadas, completaram tarefas de integração e realizaram testes de drogas em nome dos trabalhadores estrangeiros. Eles também hospedavam laptops fornecidos pela empresa em suas casas, de modo que as conexões de rede parecessem ter origem nos Estados Unidos. Ferramentas de acesso remoto foram instaladas nesses dispositivos, permitindo que os trabalhadores no exterior realizassem suas funções sem chamar atenção para sua localização real.
O cidadão ucraniano admitiu ter fornecido informações de identidade roubadas que trabalhadores norte-coreanos usaram para acessar pelo menos 40 empresas. Segundo o governo, ele gerenciava partes significativas da rede, gerenciava as comunicações e transferia os ganhos por meio de vários canais financeiros. Ele se declarou culpado de fraude eletrônica conspiração e roubo de identidade agravado, e concordou em perder mais de um milhão de dólares em criptomoedas e outros ativos. Os promotores disseram que a perda reflete os recursos diretamente ligados à fraude.
Um dos réus americanos, ex-militar do Exército, reconheceu ter recebido mais de cinquenta mil dólares por hospedar dispositivos, completar etapas de emprego para os trabalhadores e ajudá-los a contornar procedimentos de segurança corporativos. Outros réus realizaram tarefas semelhantes, incluindo receber salários em nome dos trabalhadores e transferir fundos por meio de contas bancárias dos EUA. O Departamento de Justiça observou que essas atividades permitiram que os trabalhadores permanecessem despercebidos por longos períodos.
Segundo autoridades americanas, a operação forneceu à Coreia do Norte receitas que podem apoiar programas governamentais, incluindo operações cibernéticas. As autoridades já alertaram anteriormente que o país envia trabalhadores de TI no exterior para ganhar moeda estrangeira e acessar redes corporativas. Esses trabalhadores normalmente se apresentam como freelancers e utilizam serviços de VPN, ferramentas de acesso remoto e informações de identidade adquiridas em marketplaces criminosos para evitar a detecção. O Departamento de Justiça afirmou que o desmantelamento dessa rede reflete esforços contínuos para combater essas práticas.
Analistas de segurança relatam que esquemas envolvendo trabalho remoto em TI criam desafios para os empregadores porque os indivíduos envolvidos frequentemente possuem habilidades técnicas legítimas e conseguem passar nas triagens padrão de contratação. Uma vez dentro dos sistemas da empresa, eles podem acessar repositórios de código, ferramentas de infraestrutura ou dados operacionais sensíveis. Analistas recomendam que as empresas fortaleçam as etapas de verificação de identidade, revisem os privilégios de acesso para trabalhadores remotos e monitorem sinais de compartilhamento de dispositivos ou roteamento incomum de rede.
O Departamento de Justiça afirmou que continua investigando atividades relacionadas e está compartilhando informações com as empresas afetadas. Autoridades dos EUA incentivaram organizações que suspeitam de contratação fraudulenta ou uso indevido de identidade a relatar o caso às autoridades. Eles disseram que o caso destaca a importância de verificar identidades de trabalho remoto e revisar protocolos de segurança para equipes distribuídas.