4 min
Il regime nordcoreano ha trasformato il cybercrimine crypto in una macchina da guerra da miliardi di dollari, secondo un'inchiesta internazionale che svela come Pyongyang abbia raggiunto livelli di sofisticazione paragonabili a quelli di Cina e Russia. Il Multilateral Sanctions Monitoring Team, consorzio di intelligence formato da Stati Uniti e dieci nazioni alleate, ha pubblicato un rapporto di 138 pagine che documenta come gli hacker nordcoreani stiano sistematicamente depredando exchange di criptovalute e infiltrando aziende tech straniere con identità fittizie per finanziare il programma nucleare del paese. A differenza delle altre potenze cyber, la Corea del Nord ha indirizzato le proprie capacità offensive principalmente verso obiettivi economici piuttosto che strategici, trasformando blockchain e protocolli DeFi in bancomat per il proprio arsenale atomico.
L'operazione più eclatante documentata dal team risale all'inizio del 2025, quando hacker legati al regime hanno sottratto 1,5 miliardi di dollari in Ethereum (ETH) dall'exchange Bybit, uno dei colpi più grandi mai registrati nella storia delle crypto. L'FBI ha successivamente attribuito l'attacco a un gruppo operativo sotto il controllo diretto dei servizi segreti nordcoreani. Il furto rappresenta solo la punta dell'iceberg di un'operazione sistematica che ha fruttato complessivamente miliardi di dollari attraverso exploit su piattaforme centralizzate e decentralizzate.
Il rapporto evidenzia come il regime abbia sviluppato un doppio binario operativo: da un lato attacchi diretti agli exchange per drenare wallet caldi e fondi custoditi, dall'altro un sofisticato schema di infiltrazione nel mercato del lavoro tech globale. Migliaia di sviluppatori nordcoreani avrebbero ottenuto posizioni remote presso aziende statunitensi ed europee utilizzando identità rubate o fabbricate, accedendo a sistemi interni sensibili e dirottando gli stipendi direttamente nelle casse di Pyongyang. In alcuni casi, singoli operatori gestivano simultaneamente più contratti remoti, moltiplicando i profitti dell'operazione.
Le autorità federali hanno documentato come questi "lavoratori fantasma" non si limitassero a incassare stipendi, ma acquisissero accesso privilegiato a infrastrutture critiche, codici sorgente di protocolli blockchain e chiavi private di wallet aziendali. Il malware distribuito da questi agenti infiltrati è stato progettato per operazioni di lungo termine: esfiltrazione di dati sensibili, disruption di network e installazione di backdoor per futuri attacchi. A differenza delle operazioni ransomware tradizionali, l'obiettivo primario non è l'estorsione immediata ma il finanziamento strutturale del programma di armi di distruzione di massa.
Il Multilateral Sanctions Monitoring Team è stato costituito nel 2024 dopo che la Russia ha posto il veto a una risoluzione ONU che avrebbe rinnovato il mandato del panel di esperti del Consiglio di Sicurezza preposto al monitoraggio di Pyongyang. La coalizione comprende Australia, Canada, Francia, Germania, Italia, Giappone, Paesi Bassi, Nuova Zelanda, Corea del Sud e Regno Unito oltre agli Stati Uniti. Il primo report del gruppo, pubblicato a maggio, aveva già documentato il supporto militare nordcoreano alla guerra russa in Ucraina.
Gli investigatori hanno tracciato come le criptovalute rubate vengano sistematicamente riciclate attraverso mixer decentralizzati e bridge cross-chain per cancellare la provenienza dei fondi. Una volta "puliti", questi asset vengono convertiti in valute fiat o utilizzati direttamente per acquisti militari sul mercato nero, aggirando le sanzioni internazionali. Il rapporto sottolinea come alleati strategici in Russia e Cina forniscano supporto logistico e tecnologico a queste operazioni, creando un ecosistema difficilmente penetrabile dalle autorità occidentali.
Nonostante le dimensioni ridotte e l'isolamento geopolitico, la Corea del Nord rappresenta oggi una minaccia di primo livello per l'intero settore crypto, secondo le conclusioni del team. Le azioni cyber orchestrate dal regime sono state "direttamente collegate alla distruzione di attrezzature informatiche fisiche, alla messa in pericolo di vite umane, alla perdita di asset e proprietà di cittadini privati e al finanziamento dei programmi illegali di armi di distruzione di massa e missili balistici della RPDC", si legge nel documento ufficiale.
La missione nordcoreana presso le Nazioni Unite non ha risposto alle richieste di commento. Gli esperti del settore avvertono che la sofisticazione crescente di questi attacchi richiederà standard di sicurezza sempre più elevati per exchange e protocolli DeFi, mentre il fenomeno degli IT worker infiltrati solleva interrogativi cruciali sui processi di verifica dell'identità nel lavoro remoto. Per il mercato crypto, la questione nordcoreana non è più solo un problema geopolitico ma una minaccia operativa concreta che richiede risposte tecnologiche e normative coordinate a livello internazionale.