Segundo os investigadores da ESET, que apresentaram as conclusões da sua análise na conferência Virus Bulletin 2025, o grupo DeceptiveDevelopment, também conhecido como Contagious Interview, está ativo pelo menos desde 2023 e as suas atividades centram-se, sobretudo, no roubo de criptomoedas.

Os atacantes têm como alvo developers de software, seja para sistemas operativos como Windows, Linux e macOS, mas também para programadores envolvidos em projetos de criptomoedas e Web3. As campanhas do grupo norte-coreano dependem de técnicas sofisticadas de engenharia social, incluindo entrevistas de emprego falsas, com perfis de supostos recrutadores nas redes sociais.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Como explica o investigador Peter Kálnai, citado em comunicado, o uso de perfis falsos de recrutadores é semelhante a uma estratégia utilizada pelo grupo Lazarus, também da Coreia do Norte. No entanto, neste caso, são fornecidas às vítimas “potenciais bases de código com trojans que implementam backdoors como parte de um falso processo de entrevista de emprego”.

Através destes perfis falsos, os atacantes fazem-se passar por recrutadores em plataformas como o LinkedIn, Upwork, Freelancer.com e Crypto Jobs List, oferecendo oportunidades de emprego lucrativas. As vítimas são levadas a participar em desafios de programação ou em tarefas pré-entrevista.

O grupo usa também um método, conhecido como ClickFix, onde as vítimas são levadas para um site falso de entrevistas de emprego para preencherem um formulário de candidatura detalhado. Na etapa final, os candidatos têm de gravar uma resposta em vídeo, no entanto, o site apresenta um erro relacionado com a câmara e, de seguida, um link para o corrigir. Ao clicarem no link, as vítimas copiam um comando para o terminal, mas, em vez de resolverem o problema, acabam por descarregar e executar malware sem se aperceberem.

Embora a análise se baseie principalmente em dados da telemetria da ESET e na engenharia reversa das ferramentas usadas pelo grupo, os investigadores destacam as suas ligações a outras operações fraudulentas realizadas por trabalhadores na área de TI alinhados com a Coreia do Norte que decorrem, pelo menos, desde abril de 2017. 

Continua a receber mensagens de oferta de emprego ou multas para pagar? O que fazer para evitar ser burlado
Continua a receber mensagens de oferta de emprego ou multas para pagar? O que fazer para evitar ser burlado
Ver artigo

As campanhas são descritas como esforços coordenados por parte destes trabalhadores para conseguir emprego em empresas estrangeiras, com os salários que recebem a serem usados para ajudar a financiar o regime norte-coreano.

De acordo com alerta publicado pelo FBI no início do ano, estes trabalhadores também são conhecidos por roubar dados internos das empresas e usá-los para extorsão. 

A IA é uma das ferramentas amplamente usadas por estes trabalhadores alinhados com a Coreia do Norte, seja para realizar tarefas profissionais como para manipular fotos nos seus perfis e currículos e até mesmo para realizar trocas de rosto em tempo real durante entrevistas por vídeo.

Segundo dados avançados pela ESET, as campanhas concentram-se principalmente em empregos e trabalhos no Ocidente, em particular nos Estados Unidos. Por outro lado, é possível notar uma mudança em direção à Europa, com alvos em países como França, Polónia, Ucrânia e Albânia.