jasper-sleet - RunkIntel

# Jásper Sleet > [!danger] DPRK - Trabalhadores de TI Falsos como Arma de Estado > Jásper Sleet representa uma ameaça sem precedentes ao mercado de trabalho global: milhares de trabalhadores norte-coreanos altamente qualificados infiltrados em empresas reais, gerando centenas de milhões de dólares para o regime de Kim Jong-un - e com acesso direto a código-fonte, segredos comerciais e infraestrutura critica das organizacoes que os contratam. ## Visão Geral Jásper Sleet (anteriormente Storm-0287) e o nome Microsoft para o programa global de trabalhadores remotos de TI norte-coreanos, ativo desde pelo menos 2020. O grupo opera sob estrutura diretamente ligada ao Workers' Party of Korea e representa uma das operações ciberneticas mais singulares do DPRK: **em vez de invadir redes externamente, o regime envia trabalhadores qualificados para serem contratados legalmente pelas proprias vitimas**. **Escala operacional:** Desde 2020, mais de **300 empresas americanas** - incluindo Fortune 500 - contrataram inadvertidamente trabalhadores norte-coreanos. Em apenas um inquerito do DOJ, dois nord-coreanos e tres facilitadores geraram $866.255 em apenas 10 das 64 empresas infiltradas. Microsoft suspendeu **3.000 contas Outlook/Hotmail** criadas pelo grupo. **Evolução com IA (2024-2026):** O grupo passou a usar ferramentas de IA como **Faceswap** para manipular fotografias em documentos de identidade roubados, tornando as fraudes indistinguiveis de candidatos legtimos. Vozes sao alteradas em entrevistas por video. Resumos com gramatica perfeita sao gerados por LLMs. Em outubro de 2024, um repositorio público no GitHub continha fotos AI-enhanced, curriculos e um toolkit completo para candidaturas - um sinal da industrializacao do esquema. **Modelo de "laptop farms":** Facilitadores nos EUA (e outros paises-alvo) hospedam laptops fisicos emitidos pelas empresas vitimas. Os trabalhadores norte-coreanos se conectam remotamente via PiKVM ou TinyPilot, criando a aparencia de presenca local. Em 2025, o FBI fez buscas em **29 laptop farms em 16 estados americanos** e apreendeu quase 200 computadores e 29 contas financeiras. **Dupla ameaça:** Alem de gerar receita para o regime, os trabalhadores infiltrados **roubam propriedade intelectual, código-fonte e dados sensiveis**. Em pelo menos um caso documentado, um trabalhador acessou código-fonte de IA de um contratante de defesa. Em casos de exfiltração bem-sucedida, o grupo passou a extorquir as proprias empresas sob ameaça de divulgacao. ## Campanhas Notaveis | Período | Campanha | Método | Impacto Estimado | |---------|----------|--------|-----------------| | 2020-2022 | Infiltracao inicial EUA | Freelancer + LinkedIn + GitHub | 300+ empresas americanas | | 2022-2023 | Expansao para UK/EU/AU | Identidades locais + facilitadores europeus | Alcance global | | 2023-2024 | Extorsao pos-emprego | Acesso privilegiado -> roubo + ameaça | Danos + $866K documentados | | 2024-2025 | AI-enhanced operations | Faceswap + LLMs + voice changers | Industrializacao do esquema | | 2025 | DOJ/FBI crackdown | 21 locais em 14 estados raided | 4 norte-coreanos indiciados | | 2025 | OFAC sanctions | Shenyang Geumpungri + Korea Sinjin | Sancoes a facilitadores China | ## Como Funciona o Esquema ```mermaid graph TB A["Procurement de Identidade Roubo ou aluguel de identidades reais"] --> B["Criação de Persona LinkedIn, GitHub, Upwork Curriculo AI-polido"] B --> C["Candidatura Freelancer sites + LinkedIn Via staffing companies"] C --> D["Contratacao Facilitador válida entrevista Laptop enviado a laptop farm"] D --> E["Trabalho Remoto VPN + RMM tools PiKVM/TinyPilot de NK"] E --> F1["Geracao de Receita Salario enviado ao regime Via crypto + contas fake"] E --> F2["Roubo de IP Código-fonte + segredos Extorsao posterior"] classDef identity fill:#8e44ad,color:#fff,stroke:#6c3483 classDef persona fill:#2980b9,color:#fff,stroke:#1a5276 classDef apply fill:#34495e,color:#fff,stroke:#2c3e50 classDef hire fill:#e67e22,color:#fff,stroke:#d35400 classDef work fill:#c0392b,color:#fff,stroke:#922b21 classDef revenue fill:#196f3d,color:#fff,stroke:#145a32 classDef theft fill:#7f8c8d,color:#fff,stroke:#6c7a7d class A identity class B persona class C apply class D hire class E work class F1 revenue class F2 theft ``` ## Timeline de Atividade ```mermaid timeline title Jásper Sleet - Linha do Tempo 2020 : Inicio documentado do esquema : Foco inicial em empresas tech EUA 2021 : Expansao para manufatura e transporte : Primeiros inqueritos DOJ 2022 : 300+ empresas americanas identificadas : Facilitadores na Ucrania e China 2023 : Expansao global UK, EU, Australia : Casos de extorsao documentados 2024 : Adocao de IA (Faceswap, LLMs) : Voice changing software em entrevistas 2025 : FBI raids 21 locais em 14 estados : OFAC sanciona facilitadores chineses 2026 : Campanha continua evoluindo : Microsoft suspende 3000 contas ``` ## Técnicas Utilizadas - [[t1589-gather-victim-identity-information|T1589 - Gather Victim Identity Information]] - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1606-forge-web-credentials|T1606 - Forge Web Credentials]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1021-remote-services|T1021 - Remote Services]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] - [[t1657-financial-theft|T1657 - Financial Theft]] ## Ferramentas e Infraestrutura - [[teamviewer|TeamViewer]] - RMM para acesso remoto a laptop farms - [[anydesk|AnyDesk]] - Ferramenta alternativa de acesso remoto - [[rustdesk|RustDesk]] - RMM open-source preferido por ser menos monitorado - **Astrill VPN** - VPN primario para mascarar localização real - **Faceswap** - Tool de IA para substituicao facial em documentos - **PiKVM / TinyPilot** - Dispositivos KVM para controle remoto de laptops fisicos - **GitHub / LinkedIn / Upwork** - Plataformas para estabelecer presenca digital falsa ## Relacao com Outros Grupos Norte-Coreanos Jásper Sleet opera como componente financeiro distinto dos grupos de espionagem: - **[[g0032-lazarus-group|Lazarus Group]]** - Umbrella geral; Jásper Sleet e subgrupo com foco em receita - **[[g0124-bluenoroff|BlueNoroff / Sapphire Sleet]]** - Foco em crypto theft via social engineering - **Moonstone Sleet** - Cluster similar ao Jásper Sleet com foco em software malicioso - **Storm-1877** - Outro cluster de IT workers rastreado pela Microsoft A diferenca crucial: Jásper Sleet **nao usa malware no acesso inicial** - o acesso e obtido via processo de contratacao legitimo. ## Relevância para o Brasil e LATAM O esquema Jásper Sleet já nao e exclusivo dos EUA e Europa. A evolução para **alvos globais com cargos remotos** torna o Brasil um alvo potencial por: **1. Mercado tech brasileiro em expansao:** Startups de fintechs, agrotechs e criptomercado com trabalho 100% remoto sao alvos compativeis com o perfil historico do grupo. A normalizacao do trabalho remoto pos-pandemia cria superficie de ataque sem precedentes. **2. Plataformas freelancer massivamente utilizadas:** Workana, 99Freelas, GetNinjas e equivalentes brasileiros nao possuem controles equivalentes aos das plataformas americanas para verificar identidades estrangeiras. **3. Presenca de facilitadores na América Latina:** O DOJ documentou facilitadores na China, Ucrania e EUA. Estruturas similares podem existir no Brasil e LATAM para simular presenca local de trabalhadores norte-coreanos. **4. Empresas brasileiras globais:** Subsidiarias de empresas estrangeiras operando no Brasil podem ser alvos indiretos - um trabalhador contratado pela subsidiaria tem acesso a sistemas da corporacao. > **Alerta para empresas:** Em processos seletivos remotos - exigir entrevistas por video com camera obrigatoria. Monitorar instalacao nao autorizada de ferramentas RMM (TeamViewer, AnyDesk, RustDesk) em equipamentos corporativos. Verificar inconsistencias entre timezone declarado e horario de atividade real. ## Detecção e Defesa **Indicadores comportamentais no processo seletivo:** - Candidato nunca aparece em video ou alega problemas tecnicos constantes - Mesmo nome/perfil aparece em múltiplas candidaturas a diferentes empresas - Historico LinkedIn criado recentemente com conexoes inconsistentes - Endereco de entrega de hardware diferente do endereco de trabalho declarado - Atividade online fora do horario padrao do fuso-horario declarado **Indicadores pos-contratacao:** - Instalacao imediata de ferramentas RMM nao aprovadas no laptop corporativo - Logins de IPs VPN (especialmente Astrill VPN) logo após login em rede corporativa - "Impossible travel" - logins de EUA e China/Russia em rapida sucessao - Acesso a repositorios de código alem do necessário para a função - Resistencia a reunioes presenciais ou com video habilitado **Mitigacoes prioritarias:** - [[m1017-user-training|M1017 - User Training]] - Treinamento de RH para identificar perfis fraudulentos - [[m1018-user-account-management|M1018 - User Account Management]] - Restricao de acesso mínimo necessário desde o dia 1 - [[m1047-audit|M1047 - Audit]] - Monitoramento continuo de atividade de novos contratados remotos ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2025/06/30/jásper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltraté-organizations/) Microsoft Security Blog - Jásper Sleet: North Korean Remote IT Workers Evolving Tactics (2025) - [2](https://thehackernews.com/2025/08/us-treasury-sanctions-dprk-it-worker.html) The Hacker News - US Treasury Sanctions DPRK IT Worker Scheme (2025) - [3](https://www.justice.gov/opa/pr/justice-department-announces-nationwide-actions-combat-illicit-north-korean-government) DOJ - Nationwide Actions to Combat Illicit North Korean Government IT Worker Schemes (2025) - [4](https://cybersecuritynews.com/north-korean-remote-it-workers-added-new-tactics-and-techniques/) CybersecurityNews - North Korean IT Workers Added New Tactics (2025) - [5](https://www.infosecurity-magazine.com/news/us-doj-microsoft-target-north/) Infosecurity Magazine - US DOJ and Microsoft Target North Korean IT Workers (2025)