A Amazon bloqueou mais de 1.800 supostos agentes norte-coreanos de empregos remotos em tecnologia da informação desde abril de 2024. Stephen Schmidt, o segundo vice-presidente sênior e diretor de segurança da empresa, detalhou o esforço em um Postagem no LinkedIn no final de dezembro de 2025. Cidadãos norte-coreanos procuram estes cargos em empresas norte-americanas para canalizar salários para os programas de armas do regime. A Amazon emprega triagem baseada em IA combinada com verificação humana para detecção. Schmidt afirmou na sua publicação: “impedimos a adesão de mais de 1.800 supostos agentes da RPDC desde abril de 2024 e detetámos 27% mais candidaturas afiliadas à RPDC, trimestre após trimestre deste ano”. Este aumento reflete os esforços contínuos de agentes afiliados à República Popular Democrática da Coreia, ou RPDC, para se infiltrarem em funções remotas de TI na Amazon e noutras empresas. Os sistemas da empresa processam candidaturas em grande volume, dado o seu estatuto de um dos maiores empregadores do mundo. O processo de detecção integra modelos de inteligência artificial com revisões manuais. Schmidt explicou: “Nossas detecções combinam triagem alimentada por IA com verificação humana. Nosso modelo de IA analisa conexões com quase 200 instituições de alto risco, anomalias em aplicativos e inconsistências geográficas. Verificamos identidades por meio de verificações de antecedentes, verificação de credenciais e entrevistas estruturadas”. Essas etapas examinam redes de candidatos, padrões incomuns nos dados enviados e discrepâncias de localização que surgem durante processos de contratação remota. Schmidt enfatizou a escala da exposição da Amazon a estas ameaças. Ele escreveu: “Como CSO de um dos maiores empregadores do mundo, minha equipe vê essas ameaças em uma escala que poucas organizações veem. Isso nos dá uma visibilidade única sobre como essas operações evoluem e a responsabilidade de compartilhar o que estamos aprendendo”. Esta perspectiva decorre do tratamento de um grande número de candidaturas a empregos, permitindo a identificação de padrões não visíveis para entidades mais pequenas. Os agentes refinaram suas abordagens ao longo do tempo. Eles se envolvem no roubo de identidade visando engenheiros de software reais, cujos perfis profissionais estabelecidos conferem credibilidade, em vez de indivíduos com presença on-line limitada. Essa mudança fornece currículos e históricos mais convincentes que resistem ao escrutínio inicial. As táticas do LinkedIn tornaram-se complexas. Os agentes sequestram contas inativas usando credenciais comprometidas, preservando crachás de verificação de atividades anteriores. Existem redes onde os proprietários de contas trocam acesso por pagamento, permitindo ainda mais a representação. Esses métodos exploram recursos de plataforma projetados para redes profissionais. As aplicações concentram-se cada vez mais em posições de inteligência artificial e aprendizado de máquina. Essas funções têm alta demanda em meio à adoção corporativa de tecnologias de IA, oferecendo potencialmente salários mais altos e supervisão menos imediata em configurações remotas. Os facilitadores operam “fazendas de laptops” em localidades dos EUA. Esses locais recebem remessas de equipamentos e simulam a presença doméstica, enquanto os operadores controlam os dispositivos remotamente de fora do país. Este acordo mantém a aparência de trabalho baseado nos EUA durante a contratação e integração. As reivindicações educacionais evoluem estrategicamente. Os padrões mostram mudanças das universidades do Leste Asiático para instituições em estados sem imposto sobre o rendimento e, recentemente, para escolas na Califórnia e em Nova Iorque. As análises da Amazon examinam diplomas de programas não oferecidos por instituições listadas ou cronogramas desalinhados com calendários acadêmicos padrão. Indicadores sutis ajudam na detecção. Os candidatos formatam os números de telefone dos EUA com “+1” em vez de simplesmente “1”. Este detalhe por si só tem pouco peso, mas combina-se com outros sinais para formar um perfil de atividade suspeita. Esses esquemas vão além da Amazon. Em junho de 2025, o Departamento de Justiça dos EUA emitiu um alerta. Um DOJ Comunicado de imprensa declarou: “O Departamento de Justiça anunciou hoje ações coordenadas contra os esquemas do governo da República Popular Democrática da Coreia do Norte (RPDC) para financiar o seu regime através de trabalho remoto de tecnologia da informação (TI) para empresas dos EUA”. As ações incluíram duas acusações, um acordo de confissão de informações e relacionado, uma prisão, buscas em 29 fazendas de laptops conhecidas ou suspeitas em 16 estados, apreensão de 29 contas financeiras usadas para lavagem de fundos ilícitos e 21 sites fraudulentos.
