Por Dentro dos Computadores de Trabalhadores de TI da RPDC

A NoxHunt, partindo da investigação de ZachXBT de 8 de abril sobre o hub de pagamentos luckyguys[.]site, conseguiu obter logs de infostealer de dois dispositivos de trabalhadores de TI da RPDC via STEALINT. Essa análise revelou as táticas por trás de um sofisticado ecossistema de freelancers fraudulentos. Os dois operadores identificados, "SuperDev" e "DevWisdom", utilizavam instalações coreanas do Windows protegidas por Astrill VPN, com nós de saída localizados nos EUA e no Japão, para disfarçar suas operações. Para o trabalho remoto, empregavam ferramentas como DeskIn e AnyDesk. Ambos mantinham múltiplos portfólios falsos no GitHub, repletos de repositórios em diversas linguagens, e faziam uso de copilotos de entrevista de IA como jobright.ai e ntro.io. Seus alvos eram principalmente clientes do Oriente Médio, incluindo marcas falsas de academias sauditas ligadas à persona Memvera/Shijazi88. Para defesa, é crucial que os profissionais de segurança fiquem atentos a faixas de IP da Astrill VPN, combinações de uso de DeskIn/AnyDesk, contas falsas recentes no GitHub com linguagens variadas e repositórios reciclados, além de provedores de números virtuais em registros de plataformas freelance.