4 min
Le criptovalute stanno diventando il nuovo terreno di battaglia in una guerra invisibile che coinvolge hacker nordcoreani, imprese statunitensi ignare e un sistema di infiltrazione tanto sofisticato quanto pericoloso. Il regime di Pyongyang ha infatti sviluppato una strategia complessa che va ben oltre i tradizionali attacchi informatici, puntando invece sull'infiltrazione diretta di lavoratori IT nelle aziende del settore crypto attraverso identità false e documenti falsificati. Secondo le stime dell'investigatore crypto ZachXBT, potrebbero essere già 920 i lavoratori nordcoreani infiltrati nel settore degli asset digitali, generando oltre 16 milioni di dollari di stipendi da datori di lavoro inconsapevoli.
La rete di supporto internazionale sotto attacco
Il Dipartimento del Tesoro americano ha sferrato un nuovo colpo a questa operazione clandestina, colpendo direttamente l'infrastruttura che sostiene il sistema di infiltrazione. L'Ufficio per il Controllo dei Beni Stranieri (OFAC) ha imposto sanzioni a due individui chiave e quattro entità che facilitano l'inserimento di operativi nordcoreani nelle aziende crypto. Song Kum Hyok, cittadino nordcoreano con legami al Reconnaissance General Bureau (RGB) e alla sua unità di hacking subordinata Andariel, rappresenta un tassello fondamentale di questa macchina.
La sua specialità consiste nel creare identità false utilizzando informazioni rubate di cittadini statunitensi, permettendo ai lavoratori IT nordcoreani di ottenere lavori remoti principalmente in aziende legate alle criptovalute. Una volta assunti, questi operativi dividono i loro guadagni con Song, generando entrate per i programmi di armi sanzionati della Corea del Nord.
L'asse russo-nordcoreano nel mirino
Dall'altra parte del globo, in Russia, Gayk Asatryan ha costruito un'operazione parallela attraverso le sue aziende Asatryan LLC e Fortuna LLC. Queste entità hanno impiegato decine di lavoratori IT nordcoreani sotto contratti con società commerciali statali nordcoreane, fungendo da ponte tra il regime e il mercato del lavoro occidentale. Le autorità hanno identificato Korea Songkwang Trading Corporation e Korea Saenal Trading Corporation come le principali società commerciali coinvolte nell'invio di lavoratori all'estero per finanziare il regime.
Secondo il Tesoro americano, questi operativi utilizzano tipicamente false identità, account proxy, identità rubate e documentazione falsificata o contraffatta. Una volta integrati nelle aziende, sfruttano piattaforme freelance e exchange di criptovalute per ricevere e riciclare fondi verso il regime nordcoreano.
L'evoluzione della minaccia cyber
Gli investigatori hanno osservato un'evoluzione significativa nella strategia di infiltrazione informatica della Corea del Nord negli ultimi anni. Mentre i primi sforzi si concentravano su attacchi diretti condotti da gruppi come Lazarus, il regime ora si affida sempre più a metodi basati sull'inganno per inserire silenziosamente operativi in aziende legittime. Questa transizione rappresenta una sfida completamente nuova per le autorità di sicurezza, che devono ora identificare minacce nascoste all'interno delle stesse organizzazioni che dovrebbero proteggere.
La risposta delle autorità statunitensi si sta intensificando proporzionalmente alla gravità della minaccia. Il Dipartimento di Giustizia ha guidato gli sforzi recenti, portando accuse penali contro operativi collegati alla RPDC e perseguendo casi di confisca di beni che mirano a milioni di criptovalute riciclate. L'obiettivo è colpire non solo i singoli operativi, ma l'intera infrastruttura che sostiene questi schemi di infiltrazione IT nordcoreani.
Il futuro della sicurezza nel settore crypto
Le sanzioni rappresentano parte di un'iniziativa strategica più ampia per contrastare gli sforzi della Corea del Nord di dispiegare migliaia di lavoratori IT qualificati, principalmente basati in Cina e Russia. Questi operativi utilizzano documenti falsificati e profili falsi per ottenere impiego in aziende crypto e tecnologiche, creando una rete di infiltrazione che sfida i tradizionali paradigmi di sicurezza aziendale. La battaglia per la sicurezza del settore delle criptovalute si sta quindi trasformando da una questione puramente tecnica a una sfida di intelligence e controspionaggio che richiede nuovi approcci e strumenti di difesa.