Uma investigação colaborativa realizada por Mauro Eldritch da BCA LTD, ANYRUN e NorthScan proporcionou uma visibilidade sem precedentes sobre como os agentes de ameaças norte-coreanos do Grupo Lazarus recrutam e operam contra empresas ocidentais.
Os pesquisadores documentaram o ciclo completo do ataque em tempo real, capturando imagens ao vivo dos invasores usando sistemas comprometidos. Esta descoberta revela o lado humano de uma das operações de espionagem cibernética mais sofisticadas do mundo.
A investigação começou quando Aaron, um recrutador da Lazarus que opera sob o pseudónimo “Blaze”, abordou os investigadores com uma proposta atraente: os operadores receberiam 35% do salário em troca de acesso a computadores portáteis para “trabalhar”, um eufemismo para se infiltrarem em organizações-alvo.
35% da reivindicação salarial
Em vez de recusar, a equipe de segurança forneceu ambientes sandbox ANYRUN projetados para imitar computadores de trabalho legítimos enquanto registrava todas as atividades.
Por dentro do pipeline de ataque de Chollima
Ao longo de vários meses inseridos no pipeline de contratações falsas do Lazarus, os pesquisadores documentaram o que descrevem como o ciclo completo de ataques do Famous Chollima, a metodologia de vários estágios do grupo para conduzir operações cibernéticas.
🔥 Depois de meses dentro #Lázaro‘ pipeline de contratações falsas, alcançamos algo nunca visto antes: o ciclo completo do ataque do Famous Chollima capturado em vídeo, incluindo suas ferramentas, táticas e alvos.
🤝 Isso não teria sido possível sem nossos amigos da ANY RUN (@anyrun_app)… pic.twitter.com/mDivdZdHfn
-BCA LTD (@BirminghamCyber) 2 de dezembro de 2025
As gravações capturaram invasores trabalhando ativamente nos sistemas fornecidos, oferecendo uma visão íntima de suas ferramentas, táticas operacionais e padrões de segmentação específicos. Este representa o primeiro caso documentado de operadores do Lazarus sendo filmados realizando atividades reais de preparação de ataques.
A investigação revelou práticas sofisticadas de segurança operacional juntamente com o engano no recrutamento. Os invasores demonstraram familiaridade com técnicas comuns para evitar detecção e pareciam estar cientes dos indicadores típicos de honeypot, embora o ambiente em sandbox tenha mantido sua confiança com sucesso durante toda a operação.
‼️🇰🇵 E outro hacker patrocinado pelo estado norte-coreano, pego tentando conseguir aquele doce dinheiro ocidental para o grande, mas mesquinho, Kim Jong-un.
Conheça “Jesús Sebastián” de Barranquilla, Colômbia. Ele fala espanhol? Eu não acho. pic.twitter.com/jdn314hWHG
– Cyber Digest Internacional (@IntCyberDigest) 10 de novembro de 2025
A dependência do Grupo Lazarus de pessoas internas recrutadas representa uma evolução crítica na sua metodologia de ataque. Em vez de operações puramente remotas, o grupo procura activamente empregos legítimos ou parcerias para facilitar o acesso à rede, uma táctica que confunde os pressupostos tradicionais de defesa perimetral.
Esta abordagem de recrutamento sugere que as operações norte-coreanas estão a expandir-se para além do seu foco tradicionalmente documentado em explorações de dia zero e ataques à cadeia de abastecimento.
Os investigadores de segurança e os defensores das empresas devem reconhecer que as ofertas de emprego e o recrutamento de cargos técnicos desconhecidos justificam a verificação, especialmente em sectores sensíveis. A investigação sublinha como os agentes de ameaças aproveitam os processos de emprego legítimos como vetores de ataque.
A pesquisa colaborativa entre BCA LTD, ANYRUN e NorthScan (liderada por @0xfigo) representa uma contribuição significativa para a compreensão da infraestrutura e metodologia do Grupo Lazarus.
Esta é uma história em desenvolvimento; os indicadores técnicos da investigação deverão ser divulgados em breve.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
