O golpe de recrutamento do Lazarus APT se tornou uma das ameaças mais perigosas da atualidade, sinalizando uma mudança estratégica profunda no modo como grupos avançados de cibercrime operam. Em vez de atacar diretamente infraestruturas corporativas, os operadores do Grupo Lazarus (Famous Chollima) agora miram no fator humano, infiltrando-se em empresas por meio do roubo de identidade de trabalhadores remotos. Essa abordagem transforma o próprio funcionário em um cavalo de Troia vivo, entregando ao atacante acesso total ao endpoint, às credenciais e aos fluxos internos da organização. Neste artigo analisamos o funcionamento da tática, a investigação conduzida pela BCA, NorthScan e ANY.RUN, além das medidas essenciais para que empresas e profissionais se protejam.
A tendência é clara e preocupante, o roubo de identidade virou o novo malware. A operação observada mostra como criminosos conseguem operar 24 horas por dia com laptops de terceiros enquanto buscam infiltrar empresas de finanças, criptomoedas e tecnologia. Este artigo apresenta o golpe, explica as ferramentas usadas pelos operadores e detalha como equipes de TI, segurança e RH podem fortalecer suas defesas corporativas.
A seguir, destrinchamos a nova face da operação, evidenciando por que o ataque representa uma ameaça estratégica para qualquer companhia que adota equipes distribuídas ou permite trabalho remoto.
A nova face do Lazarus: como funciona o golpe de recrutamento falso
Imagem: TheHackerNews
A operação analisada pelos pesquisadores expõe uma evolução agressiva das táticas empregadas pela célula conhecida como Famous Chollima, ligada ao Grupo Lazarus. O foco é o setor de tecnologia, especialmente empresas com forte presença em desenvolvimento de software, fintechs, criptoativos e plataformas de trading. Para atacar, os agentes usam uma estratégia aparentemente simples, mas extremamente eficaz, um falso processo de recrutamento com etapas de “testes práticos”, “avaliação técnica” e “validação de perfil profissional”.
Nesse golpe, o principal operador identificado atende pelos codinomes “Aaron” ou “Blaze”, supostamente um recrutador atuando para empresas de tecnologia internacionais. Utilizando perfis falsos em plataformas de vagas, ele aborda profissionais qualificados oferecendo vagas remotas atrativas, com bom salário e benefícios. Após despertar o interesse das vítimas, os agentes iniciam a coleta estruturada de dados, exigindo documentos, fotos, comprovantes e, por fim, solicitando a instalação de aplicações que supostamente auxiliariam no processo de onboarding.
O esquema, roubo de identidade vs. implantação de malware
Diferentemente dos ataques tradicionais do Lazarus, conhecidos por implantar malware financeiro, backdoors avançados ou ransomware, a operação atual prioriza roubo de identidade e controle persistente da máquina real do candidato. O objetivo é obter acesso ao laptop da vítima para operá-lo remotamente como se fosse um funcionário legítimo.
Essas máquinas sequestradas passam a funcionar como estações de trabalho 24/7, classificadas pelos operadores como “laptop farms”, onde diversos computadores reais são usados simultaneamente para acessar sistemas corporativos, abrir contas em exchanges, realizar verificações KYC e executar transações de alto valor sem levantar alertas iniciais.
Outro elemento crítico da operação é o reinvestimento dos supostos salários. Os agentes afirmam que parte da remuneração deve ser “devolvida” em forma de investimento em ferramentas e licenças sugeridas por eles, ampliando o controle sobre o endpoint e reduzindo a resistência do usuário.
A armadilha, como os pesquisadores capturaram a ação ao vivo
A descoberta se tornou possível porque pesquisadores da BCA, NorthScan e ANY.RUN conseguiram registrar toda a interação ao vivo em vídeo, dentro de uma sandbox da ANY.RUN. Os analistas simularam o interesse em uma vaga remota e seguiram todas as etapas exigidas pelo agente “Aaron”, instalando as ferramentas solicitadas em um ambiente controlado.
Quando os operadores do Lazarus acessaram o ambiente, acreditando tratar-se de um laptop real, os pesquisadores registraram tudo, desde a tentativa de login até a configuração de acesso remoto, VPN e automações de IA. Esse material inédito trouxe clareza ao funcionamento interno da operação e forneceu evidências do alto nível de organização e profissionalismo do grupo.
O kit de ferramentas do Famous Chollima
A operação identificada utiliza um conjunto fixo e bem estruturado de aplicações, todas facilmente adquiridas por qualquer usuário comum, o que dificulta a detecção por políticas tradicionais de segurança corporativa.
O primeiro item é o Google Remote Desktop, ferramenta utilizada para manter um acesso persistente e fácil de configurar. A escolha não é acidental, por ser uma solução legítima, amplamente utilizada em ambientes corporativos e domésticos, seu tráfego tende a não levantar suspeitas.
Para ocultar a origem do operador, o grupo utiliza a VPN Astrill, conhecida pela estabilidade e velocidade e frequentemente adotada por usuários que operam em regimes de censura ou restrições regionais. Com ela, os criminosos simulam acessos compatíveis com o país da vítima, evitando alertas de login geograficamente suspeitos.
A terceira categoria de ferramentas envolve automação via IA, especialmente Simplify Copilot e AiApply, usadas para gerar respostas automáticas em plataformas de emprego, criar currículos falsos, executar tarefas de triagem e automatizar interações com empresas reais. Isso permite que os criminosos multipliquem o número de alvos e mantenham uma operação escalável.
Com esse kit, o Famous Chollima consegue controlar dezenas de máquinas simultaneamente, operar em fusos horários diferentes e executar tarefas de alto risco com baixa chance de detecção.
Implicações para o trabalho remoto e defesa cibernética
O cenário que emerge dessa investigação revela um novo tipo de ameaça que combina engenharia social, roubo de identidade, controle persistente de endpoint e automação via IA. Em um ambiente onde recrutamento remoto é padrão e o onboarding virtual é comum, a confiança se tornou uma vulnerabilidade crítica.
Sem a necessidade de invadir redes diretamente, o Grupo Lazarus explora o elo mais fraco, o candidato em busca de uma vaga. Isso cria um ponto de entrada extremamente confiável, porque:
- A máquina pertence a uma pessoa real, logo passa por verificações KYC sem bloquear.
- A identidade é legítima, portanto sistemas antifraude têm dificuldade em detectar atividades suspeitas.
- A presença de acessos remotos “legítimos” dificulta a análise forense posterior.
- O trabalho remoto naturaliza solicitações de software adicional, reduzindo desconfiança.
Diante desse contexto, empresas precisam reavaliar seus processos internos. Setores de RH devem incorporar protocolos de verificação e conscientização contra golpes de recrutamento, enquanto equipes de TI e segurança precisam reforçar treinamentos de engenharia social, validar ferramentas permitidas para trabalho remoto e monitorar acessos remotos incomuns.
A mensagem central é clara, qualquer empresa pode ser vítima. Do ponto de vista defensivo, as medidas essenciais incluem:
- Educação constante sobre golpes de contratação, especialmente para vagas internacionais.
- Políticas rígidas de BYOD, limitando softwares permitidos no dispositivo do funcionário.
- Monitoramento de comportamentos anômalos, incluindo acessos remotos fora do padrão.
- Verificação de identidade multifatorial para todas as etapas internas, reduzindo riscos de fraude.
- Treinamentos focados em engenharia social e phishing direcionado.
O impacto estratégico desses ataques vai além de uma simples invasão, trata-se de infiltração silenciosa, gradual e altamente eficiente. À medida que o trabalho remoto se consolida, a proteção da identidade digital se torna tão importante quanto a proteção do endpoint.
