Agentes norte-coreanos estão criando empresas de fachada que se passam por empresas de tecnologia dos Estados Unidos para gerar fundos ilícitos que sustentam programas de mísseis e armas de destruição em massa. A operação é parte de uma rede global rastreada como Wagemole, que envolve trabalhadores de TI contratados remotamente sob identidades falsas.

Essas empresas, frequentemente baseadas na China, Rússia, Sudeste Asiático e África, servem para mascarar as origens reais dos trabalhadores e gerir pagamentos. De acordo com a SentinelOne, firmas como Independent Lab LLC e Tony WKJ LLC copiam conteúdo de sites legítimos para parecerem confiáveis. Seus domínios foram registrados via NameCheap, e em outubro de 2024 o governo dos EUA apreendeu 17 sites usados na fraude.

Os lucros dessas atividades são canalizados para a Coreia do Norte por meio de contas bancárias chinesas e serviços de pagamento online, como confirmado pelo Departamento de Justiça dos EUA. Essas ações permitem que o regime norte-coreano drible sanções internacionais.

Além da fraude, o grupo norte-coreano CL-STA-0237 está associado a ataques de phishing e distribuição de malwares, como o BeaverTail, via aplicativos de videoconferência. Relatos indicam que, em 2022, eles conseguiram uma posição em uma grande empresa de tecnologia nos EUA, facilitando novos ataques.

Pesquisadores alertam para o uso crescente de ferramentas digitais globais por regimes sancionados. Empresas são orientadas a implementar verificações rigorosas em contratações para evitar envolvimento acidental nessas atividades.