קבוצות סייבר מצפון קוריאה היוו שליש מכלל מתקפות הדיוג אשר כוונו לברזיל מאז 2020, שכן הופעתה של המדינה כמעצמה משפיעה משכה את תשומת הלב של קבוצות ריגול סייבר. "קבוצות פשיעת סייבר הנתמכות על ידי ממשלת צפון קוריאה כיוונו מתקפות נגד ממשלת ברזיל ונגד מגזרי התעופה והחלל, הטכנולוגיה והשירותים הפיננסיים של ברזיל", אמרו חטיבות ה- Mandiant ו- Threat Analysis Group (TAG) של גוגל בדוח משותף. כמו כן נאמר בדוח: "בדומה לתחומי המיקוד שלהם באזורים אחרים, חברות קריפטוגרפיה וטכנולוגיה פיננסית היו מוקד מיוחד ולפחות שלוש קבוצות סייבר צפון קוריאניות תקפו חברות קריפטו ופינטק ברזילאיות."
בין הקבוצות הסייבר הללו בולטת קבוצת UNC4899 (הידועה גם בשם Jade Sleet, PUKCHONG ו- TraderTraitor), אשר כיוונה מתקפות סייבר כלפי אנשי מקצוע בתחום המטבעות הקריפטוגרפיים באמצעות אפליקציית Python טרויאנית אשר הכילה נוזקות. מתקפות סייבר אלו כוונו כלפי יעדים פוטנציאליים באמצעות מדיה חברתית ושליחת מסמך PDF המכיל תיאור תפקיד עבור הזדמנות עבודה לכאורה בחברת מטבעות קריפטוגרפיים ידועה. במידה והביע היעד עניין בהצעת העבודה, נשלח אליו על ידי קבוצת הסייבר מסמך PDF שני עם שאלון מיומנויות והנחיות להשלמת משימת קידוד על ידי הורדת פרויקט מ- GitHub. הפרויקט היה אפליקציית Python שפעלה כנוזקה טרויאנית לאחזור מחירי מטבעות קריפטוגרפיים ולהפעלת נוזקות נוספות. ביולי 2023 הזהירה GitHub מפני מתקפת הנדסה חברתית שביקשה להערים על עובדים בחברות בלוקצ'יין, קריפטוגרפיה, הימורים מקוונים ואבטחת סייבר – להפעיל קוד שאוחסן במאגר GitHub. טקטיקה זו מנצלת לרעה את האמון שנותנים משתמשים במאגרי קוד פתוח ומאפשרת לפושעי סייבר להגיע לקהל קורבנות רחב יותר ולהגדיל את הסבירות שאחת החבילות הזדוניות שלהם תותקנה בטעות על ידי מפתחים.
מתקפות הנדסה חברתית בנושא עבודה נפוצות בקרב קבוצות סייבר צפון קוריאניות, כאשר גוגל זיהתה גם מתקפת סייבר מתוזמנת של קבוצת PAEKTUSAN, שמטרתה הייתה לספק נוזקה להורדת C++ המכונה AGAMEMNON באמצעות קבצים מצורפים של Microsoft Word המוטמעים בדוא"ל דיוג. באחת ממתקפות הסייבר יצרה PAEKTUSAN חשבון המתחזה למנהל משאבי אנוש בחברת חלל ברזילאית והשתמשה בו לשליחת דוא"ל דיוג לעובדים בחברת חלל ברזילאית אחרת. במתקפת סייבר אחרת התחזו PAEKTUSAN למגייס כח אדם בחברת תעופה וחלל גדולה בארה"ב והגיעו לאנשי מקצוע בברזיל ובאזורים אחרים באמצעות דואר אלקטרוני ומדיה חברתית לגבי הזדמנויות עבודה פוטנציאליות". גוגל חסמה ניסיונות של קבוצה צפון קוריאנית אחרת המכונה PRONTO מלהפעיל מתקפות דיוג נגד דיפלומטים – מתקפות אשר כללו הודעות דואר אלקטרוני הקשורות לפירוק גרעין ולחדשות, כדי להערים על הדיפלומטים לבקר בדפי קצירת אישורים או לספק את פרטי ההתחברות שלהם.
