Jornalista da Fortune: Mesmo sabendo que os hackers da Coreia do Norte são implacáveis, ainda assim fui vítima

Artigo: Ben Weiss, Revista Fortune

Tradução: Luffy, Foresight News

No final de março, recebi uma mensagem inquietante de um administrador de TI da Fortune. “Há um processo a explorar uma vulnerabilidade no sistema”, escreveu ele, “e alguém poderá já ter entrado no meu computador. Preciso de o terminar.” Fiquei em pânico instantaneamente.

De acordo com os registos consultados posteriormente pelo departamento de TI, eu tinha descarregado um ficheiro na manhã desse dia, às 11:04, com capacidade de registo de teclado, gravação do ecrã, roubo de palavras-passe e acesso a várias das minhas aplicações.

Fechei imediatamente o portátil, corri para fora do apartamento em Brooklyn e dirigi-me ao metro mais próximo. A caminho da estação para ir ao trabalho, enviei uma mensagem ao editor: “Acho que fui alvo de um golpe de spear phishing por piratas informáticos norte-coreanos, riu-me às gargalhadas.”

Tenho vindo a reportar notícias sobre a Coreia do Norte e sei que este país tem como alvo investidores dos EUA. Mas nunca imaginei que este grupo infame de hackers me iria visar e que eu próprio iria viver, em primeira mão, o quão sofisticadas são as suas técnicas de engano.

Parece um golpe

O “Reino do Eremita” vem, há anos, a assediar persistentemente a indústria das criptomoedas. Devido às sanções, a Coreia do Norte está excluída do sistema financeiro global, pelo que precisa de depender de roubos de criptomoedas apoiados pelo Estado para se manter em funcionamento.

Dados da empresa de análise de dados cripto Chainalysis mostram que, só em 2025, hackers ligados à Coreia do Norte roubaram criptomoedas no valor de 2 mil milhões de dólares, cerca de 50% a mais do que no ano anterior.

A Coreia do Norte já criou um conjunto de esquemas de isco que têm funcionado repetidamente, incluindo persuadir empresas a contratá-los para funções de TI — e desta vez foi uma estratégia semelhante à que foi usada para me enganar.

Os hackers norte-coreanos tinham armado a armadilha já em meados de março. O isco foi uma mensagem do Telegram proveniente de um investidor associado a um fundo de cobertura, e a aplicação também é uma das ferramentas de comunicação mais usadas no setor cripto. Não posso revelar o nome desse investidor; ele já tinha sido uma fonte anónima nos meus artigos.

Perguntou-me se eu queria conhecer alguém chamado Adam Swick, que já tinha sido o diretor de estratégia da empresa de mineração de Bitcoin MARA Holdings. Respondi que sim; ele sempre foi simpático e fiável. Depois, fui adicionado a um grupo de conversa.

Disse-me que Swick estava a preparar a criação de um novo “cofre” de ativos digitais, “já com um potencial grande investidor-semente”. O projeto soou altamente suspeito, mas ainda assim decidi ouvir o que ele tinha para dizer.

Ele pediu-me para marcar uma chamada no Telegram. Uma semana depois, a fonte enviou-me uma ligação que parecia ser para uma reunião Zoom. Cliquei.

A interface do programa de arranque parecia bastante semelhante ao Zoom que uso todos os dias, mas havia alguns detalhes de design que não batiam certo, e o áudio não funcionava de todo. O sistema disse-me que precisava de atualizar o software para resolver o problema de áudio. Ao mesmo tempo, Swick enviou-me uma mensagem: “Parece que o Zoom aí do lado está com problemas.” Eu cliquei para descarregar a atualização.

Quando percebi que a ligação no navegador não correspondia à enviada pelo Telegram, fiquei imediatamente em alerta. Propus mudar a reunião para o Google Meet. “Isto faz-me sentir que é um golpe”, disse eu, no grupo, a Swick e àquela fonte.

Swick insistiu: “Não te preocupes, acabei de testar no meu computador e está tudo bem.”

Eu não executei o script no meu Mac e saí, de imediato, da reunião no Zoom. “Se quiserem conversar, usem o Google Meet.” Respondi no Telegram. A minha fonte foi-me expulsa do grupo imediatamente.

Invasão em cadeia, à escala de vírus

No caminho para fora do apartamento, a caminho do departamento de TI, enviei uma mensagem à investigadora sénior de segurança Taylor Monahan. Ela é membro da organização SEAL 911, um grupo de voluntários que ajuda vítimas de roubos de criptomoedas. Enviei-lhe o script descarregado e a ligação para a reunião por vídeo.

“Foi obra de hackers norte-coreanos.” Ela respondeu-me poucos segundos depois.

Se eu tivesse executado o script, o hacker teria roubado as minhas palavras-passe, a minha conta do Telegram e todas as criptomoedas que eu detinha. Felizmente, eu só tinha uma pequena quantidade de Bitcoin e algumas outras criptomoedas.

As características do ataque tornam difícil ter 100% de certeza sobre quem está por detrás, mas neste episódio em que quase caí, Monahan disse-me que as ligações, o script e até a conta que usava como falsa identidade de Swick apontavam para a Coreia do Norte. Os investigadores vão cruzar múltiplas evidências, como análises da blockchain, para associar o caso à Coreia do Norte. Outros dois investigadores de segurança que têm estado há muito tempo a seguir hackers norte-coreanos também confirmaram esta conclusão depois de eu lhes ter enviado o script e a ligação.

“Diz-lhe só que vou cumprimentar”, disse Monahan, referindo-se ao hacker norte-coreano que se tinha virado contra mim.

Monahan e outros investigadores de segurança já trataram centenas de casos de phishing de reuniões de vídeo falsas na indústria cripto. O método é padronizado, mas é extremamente eficaz.

Os hackers primeiro controlam a conta do Telegram de um utilizador real e depois contactam as pessoas que constam na lista de contactos. As vítimas são instruídas a entrar numa reunião por vídeo, mas durante a chamada o áudio nunca funciona corretamente. Em seguida, a vítima é induzida a executar uma atualização “para corrigir o áudio”. Assim que o script é executado, o hacker consegue aceder aos ativos cripto, às palavras-passe e à conta do Telegram da vítima.

Na verdade, num relatório divulgado na quarta-feira, o Google afirma que estes hackers norte-coreanos que visaram-me a mim também estarão a planear um ataque contra programadores de software em geral.

Eu não sou um afortunado milionário com um Lamborghini e Bitcoin, mas Monahan disse-me que os hackers norte-coreanos não visam apenas pessoas ricas. Ela descobriu que cada vez mais jornalistas do setor cripto estão a ser alvo, muito provavelmente porque há muitos contactos no Telegram dos jornalistas. Entre esses contactos, é provável que existam vários afortunados do universo cripto.

Tal como uma infeção viral que sequestra células saudáveis, os hackers comprometem estas contas e depois atacam os contactos dentro das contas. Foi exatamente assim que eu quase fui apanhado. Achei que estava a conversar com conhecidos, por isso baixei a guarda.

“Sou um impostor”

Depois de formatar completamente o computador, alterar todas as palavras-passe e agradecer repetidamente ao administrador de TI, finalmente liguei àquela fonte. Como esperado, a conta do Telegram dele já tinha sido roubada no início de março.

“Tenho muitos contactos no meu Telegram, mas não estão guardados no meu telemóvel nem no meu computador”, disse ele. “Mas o que me deixa mais sentido é o facto de alguém estar a passar-se por mim, usando a minha identidade para enganar os outros. A sensação de ter a minha identidade violada é horrível.”

Além disso, apesar de ele ter contactado o Telegram várias vezes ao longo de três semanas para pedir ajuda, não recebeu resposta. Um porta-voz do Telegram disse-me numa declaração: “Embora o Telegram se esforce por proteger contas, nenhuma plataforma consegue impedir que os utilizadores sejam enganados.” Acrescentou que, depois de eu ter contactado a plataforma, a mesma congelou a conta deste investidor de fundo de cobertura.

Também contactei o verdadeiro Adam Swick. Desde o início de fevereiro, havia pessoas a passar-se por ele no Telegram. Este ex-executivo da MARA recebeu inúmeras mensagens e chamadas a perguntar-lhe por que razão estava a marcar reuniões. Ele só conseguia pedir desculpa sempre que isso acontecia.

“Mas algumas pessoas perguntam-me de volta: ‘Amigo, de que é que te desculpas?’”, disse Swick. “Eu só consigo dizer: ‘Eu não sei… estou a pedir desculpa por mim que é falso. Desculpa mesmo por isto estar a acontecer.’”

Swick não sabe por que razão os hackers se deram ao trabalho de se fazer passar por ele, e a minha fonte também não sabia como é que o Telegram dele tinha sido roubado. Mas quase no fim da conversa telefónica, ambos encontrámos uma possível resposta.

Entre as últimas pessoas a contactar antes da conta do investidor ser roubada, havia um impostor que se fazia passar por Swick. “Marquei uma reunião Zoom com ele, mas do lado dele o áudio não ligava”, disse a minha fonte. “Lembro-me vagamente de que descarreguei alguma coisa na altura.”

Por outras palavras, é muito provável que a minha fonte também tenha sido visada pelo mesmo grupo de hackers. Assim que percebemos que o computador dele poderia também ter sido infetado, o investidor do fundo de cobertura desligou imediatamente e formatou o próprio computador.

Enviei uma mensagem no Telegram ao Adam Swick que estava a ser falsificado: “Esta conta está a ser controlada por hackers norte-coreanos?”

Até hoje, ainda não recebi qualquer resposta.