5 min
Nel panorama delle minacce informatiche che insidiano il settore crypto, la Corea del Nord rappresenta oggi uno degli attori più sofisticati e pericolosi. Nel solo 2025, secondo i dati di Chainalysis, i gruppi hacker affiliati all'esercito nordcoreano hanno accumulato oltre 2 miliardi di dollari in criptovalute rubate, un incremento di circa il 50% rispetto all'anno precedente. Tagliata fuori dal sistema finanziario globale dalle sanzioni internazionali, la Repubblica Popolare Democratica di Corea (DPRK) ha trasformato il furto di asset digitali in una vera e propria industria di stato. Questa è la storia di come i suoi hacker abbiano tentato di colpire una giornalista di Fortune — e di come lo schema utilizzato riveli la profondità delle loro capacità di inganno sociale.
Il meccanismo dell'attacco si è rivelato tanto semplice quanto efficace: sfruttare la fiducia interpersonale come vettore primario di infiltrazione. A metà marzo, la giornalista ha ricevuto su Telegram — la piattaforma di messaggistica preferita dalla community crypto — un messaggio da quello che sembrava essere un suo contatto fidato, un investitore di hedge fund con cui aveva già collaborato come fonte anonima. Il presunto investitore le proponeva di incontrare Adam Swick, ex chief strategy officer del miner Bitcoin MARA Holdings, per discutere la creazione di un nuovo treasury di asset digitali con un potenziale seed investor di grandi dimensioni.
La trappola era stata costruita con cura chirurgica. Sia l'account Telegram dell'investitore che quello di Swick erano stati compromessi e impersonati dai nordcoreani. Swick, in realtà, era vittima di impersonificazione su Telegram già dal febbraio, e nei mesi successivi aveva ricevuto decine di messaggi e chiamate da persone confuse che gli chiedevano conto di incontri che lui non aveva mai organizzato. "Mi scuso per il falso me, immagino. Mi dispiace molto che questo sia successo", ha dichiarato il vero Swick.
Lo schema operativo si è rivelato classico ma raffinato. La giornalista ha ricevuto quello che sembrava un link Zoom autentico. L'applicazione che si è aperta somigliava all'interfaccia standard, ma con piccole incongruenze visive e un problema audio persistente. A quel punto è scattato il prompt per scaricare un "aggiornamento" per risolvere il problema del suono — in realtà un malware progettato per registrare keystroke, catturare screenshot, rubare password e accedere alle applicazioni installate, inclusi wallet crypto e account Telegram.
L'istinto della giornalista l'ha salvata: notando che il link nel browser non corrispondeva a quello ricevuto su Telegram, ha abbandonato la chiamata e ha immediatamente contattato Taylor Monahan, ricercatrice di sicurezza veterana e membro di SEAL 911, un gruppo di volontari specializzati nell'assistenza alle vittime di hack crypto. La risposta di Monahan è arrivata in pochi istanti: "È DPRK". La valutazione è stata successivamente confermata da altri due ricercatori indipendenti che monitorano l'attività degli hacker nordcoreani, attraverso l'analisi combinata del link, dello script e dell'account fake di Swick, utilizzando anche tecniche di blockchain analysis.
Se lo script fosse stato eseguito sul MacBook, le conseguenze sarebbero state gravi: furto di password, compromissione dell'account Telegram e sottrazione di qualsiasi asset crypto. Monahan ha spiegato che la DPRK non prende di mira solo i grandi holder di Bitcoin (BTC) o Ethereum (ETH) — i cosiddetti whale del settore. I giornalisti crypto sono diventati obiettivi sempre più frequenti, precisamente perché i loro account Telegram contengono rubriche ricche di contatti con esposizione significativa al mercato degli asset digitali.
Il vettore di propagazione funziona come un virus biologico: una volta compromesso un account, gli hacker lo utilizzano per attaccare i contatti dell'ignara vittima, sfruttando la fiducia già consolidata. È esattamente quanto accaduto: l'account dell'investitore hedge fund era stato hackerato a inizio marzo, probabilmente dopo che anche lui aveva tentato di scaricare un "aggiornamento audio" durante una finta videochiamata con un falso Swick. La catena di infezione si era propagata silenziosamente per settimane prima che qualcuno se ne accorgesse.
Google ha pubblicato un report confermando che lo stesso gruppo nordcoreano responsabile di questo tentativo di attacco era anche dietro una campagna mirata agli sviluppatori software su larga scala. Questo dato allarga considerevolmente il perimetro della minaccia: non si tratta solo di investitori retail o istituzionali, ma di chiunque operi nell'ecosistema digitale con accesso a credenziali o asset di valore.
Dal punto di vista della sicurezza operativa — la cosiddetta OpSec nel gergo della community — questo caso offre lezioni concrete. Telegram, nonostante la sua popolarità nel settore crypto, non offre le stesse garanzie di sicurezza di piattaforme con autenticazione a più fattori più robusta. Il framework normativo europeo MiCA e le linee guida ESMA non coprono esplicitamente queste tipologie di social engineering, lasciando di fatto la responsabilità della prevenzione agli utenti stessi. Telegram ha dichiarato di aver congelato l'account dell'investitore solo dopo essere stata contattata dalla giornalista — tre settimane dopo che la vittima aveva già segnalato il problema.
I prossimi mesi saranno decisivi per capire se il settore crypto riuscirà a sviluppare protocolli di verifica dell'identità più efficaci sulle piattaforme di messaggistica. Nel frattempo, Monahan e i ricercatori di SEAL 911 continuano a mappare le tattiche della DPRK, nella consapevolezza che ogni nuovo attacco affinato oggi potrebbe tradursi domani in decine di milioni di dollari sottratti all'ecosistema. Il messaggio inviato al falso Adam Swick su Telegram — "Questo account è controllato da qualcuno affiliato alla DPRK?" — non ha mai ricevuto risposta.