Hack Alerta

Pesquisa filma pipeline de recrutamento do Lazarus em operação honeypot

Por Redação Hack Alerta Publicado em 02/12/2025 16:05 Riscos e Ameaças Tempo de leitura: 2 min

Pesquisa colaborativa (BCA LTD, ANY.RUN, NorthScan) documentou, por meses, um pipeline de recrutamento do Lazarus que usava ofertas de "35% do salário" para atrair operadores; em ambientes honeypot os pesquisadores capturaram o ciclo de ataque completo e confirmaram uso de insiders para obter acesso a empresas ocidentais.

Uma investigação colaborativa expôs, em tempo real, como operadores ligados ao grupo Lazarus recrutam e instrumentalizam insiders para obter acesso a empresas ocidentais, com gravações que documentam o ciclo de ataque completo em ambientes controlados.

Como os pesquisadores chegaram até o operador

A investigação reuniu BCA LTD, ANY.RUN e NorthScan (liderada por @0xfigo). Pesquisadores relatam que um recrutador identificado como "Blaze" ofereceu acesso a operadores em troca de "35% do salário" — uma proposta usada como isca para atrair colaboradores. Em vez de aceitar, a equipe forneceu máquinas em sandbox (ANY.RUN) instrumentadas para registrar todas as ações dos operadores.

O que foi observado

Durante meses, a equipe documentou o ciclo que chamam de Famous Chollima attack cycle: operadores realizando atividades reais em sistemas fornecidos, preparando ferramentas, testando credenciais e organizando acessos. As gravações mostram operadores familiarizados com práticas de OPSEC e técnicas de evasão, ao mesmo tempo em que confiam nos ambientes oferecidos como se fossem máquinas de trabalho legítimas.

Implicações táticas

O uso de recrutamento direto para obter acesso presencial ou lógico representa uma evolução nas práticas do grupo, ampliando o leque além de explorações remotas e zero‑days. Recrutar insiders — mesmo temporários — reduz a necessidade de técnicas de intrusão avançadas e dificulta a detecção tradicional, pois as ações são realizadas a partir de credenciais legítimas ou dispositivos autorizados.

Recomendações para defesa

  • Verificação diligente de candidatos e avaliações de background para funções com acesso sensível.
  • Monitoramento rigoroso de sessões e controle de acesso baseado em comportamento para identificar atividades atípicas mesmo em credenciais válidas.
  • Segmentação de rede e minimização de privilégios para limitar o alcance de credenciais comprometidas.

Limitações e próximos passos

As fontes informam que indicadores técnicos detalhados serão publicados em sequência; o relatório inicial não divulga listas de alvos nem dados que permitam quantificar impactos diretos. A peça central desta investigação é demonstrativa: provê visibilidade inédita sobre métodos de recrutamento e preparação de operações do Lazarus, mas não substitui o compartilhamento formal de IOCs para mitigação em larga escala.

Fontes: Cyber Security News; investigação colaborativa de BCA LTD, ANY.RUN e NorthScan.

Baseado em publicação original de Cyber Security News
Tags: #lazarus #recruitment #honeypot #chollima #espionage #any.run #bca-ltd #northscan #insider-access
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar