CheckBlackList

Non sono freelance, sono spie: L’Infiltrazione di Hacker Nordcoreani nel Mercato del Lavoro Remoto

Non sono freelance, sono spie: L’Infiltrazione di Hacker Nordcoreani nel Mercato del Lavoro Remoto

Un fenomeno crescente e allarmante nel panorama della cybersecurity vede gruppi di hacker affiliati alla Corea del Nord infiltrarsi nelle aziende globali non attraverso classici attacchi informatici dall’esterno, ma facendosi assumere come lavoratori IT da remoto. Questo sofisticato schema, che coinvolge l’uso di false identità, intelligenza artificiale e un’ampia rete di supporto, ha un duplice obiettivo: generare entrate per il regime nordcoreano, aggirando le sanzioni internazionali, e sfruttare l’accesso privilegiato per attività di spionaggio, furto di dati ed estorsione.

Banner Teleassistenza
Problemi con il PC? Risolviamo tutto a distanza con la nostra assistenza professionale
Scopri i nostri pacchetti

Per chi ha fretta

Hacker nordcoreani si stanno facendo assumere in aziende globali come dipendenti IT remoti usando identità false e intelligenza artificiale per superare i colloqui. Mirano a rubare dati sensibili, proprietà intellettuale e a generare entrate per il regime. Le aziende devono rafforzare i processi di verifica durante l’assunzione, monitorare l’attività dei dipendenti remoti e sensibilizzare il personale sui rischi. In caso di sospetta infiltrazione, isolare l’accesso, raccogliere prove e denunciare alle autorità sono passi fondamentali.

L’Evoluzione della Minaccia: Dagli Stati Uniti all’Europa e Asia

Inizialmente focalizzati su obiettivi negli Stati Uniti, i gruppi come NICKEL TAPESTRY (o Lazarus Group e altri affiliati) hanno ampliato il loro raggio d’azione a causa della maggiore attenzione e delle contromisure adottate oltreoceano. Ora prendono di mira attivamente aziende in Europa e Asia, inclusi mercati come il Giappone. Questo spostamento geografico sottolinea l’adattabilità e la persistenza di queste minacce statali. La scelta del lavoro remoto facilita questa espansione, permettendo agli attaccanti di operare da qualsiasi luogo, eludendo i controlli fisici.

Le Tattiche di Infiltrazione: Un Inganno Sofisticato

Per superare i processi di selezione, i candidati fraudolenti mettono in atto tecniche di ingegneria sociale e sfruttano tecnologie avanzate:

  • Identità False e Profili Contraffatti: Si spacciano per professionisti provenienti da paesi diversi dalla Corea del Nord, come Vietnam, Singapore, Giappone o persino Stati Uniti ed europei. Creano profili online fittizi su piattaforme come LinkedIn, GitHub e siti di freelance, falsificando fotografie (anche tramite AI generativa), adattando le proprie “impronte digitali” online e, come rilevato nel 2025, aumentando significativamente l’uso di profili “femminili” per diversificare le esche.
  • Curriculum e Portfolio Manipolati: I curriculum sono artefatti, spesso generati automaticamente o copiati da profili reali, arricchiti da esperienze e competenze gonfiate. Vengono creati finti portfolio su piattaforme come GitHub, riciclando codice o contenuti per dare l’impressione di una reale attività e competenza.
  • Sfruttamento dell’IA Generativa: L’intelligenza artificiale viene impiegata non solo per creare immagini profilo false (deepfake utilizzati anche durante i colloqui video per mascherare l’identità reale) ma anche per generare testi convincenti per curriculum, lettere di presentazione e comunicazioni durante il processo di selezione.
  • Processi di Intervista Manipolati: Durante i colloqui video, oltre all’uso di deepfake, possono sfruttare “laptop farms” (computer gestiti da complici in paesi target) o insistere sull’uso di dispositivi personali per aggirare i controlli aziendali. Alcune campagne, come “Contagious Interview” e “ClickFake Interview”, utilizzano finte interviste o progetti di codifica fasulli per indurre le vittime a scaricare malware.

Oltre lo Stipendio: Furto Dati ed Estorsione

Sebbene la generazione di entrate per finanziare i programmi statali rimanga una motivazione primaria (con parte significativa dello stipendio convogliato al regime), emerge con prepotenza il movente dell’estorsione di dati. Sono sempre più frequenti i casi di minacce di divulgazione di codice sorgente, proprietà intellettuale o altri dati riservati rubati. Queste minacce possono verificarsi in qualsiasi momento, anche a pochi giorni dall’inizio del rapporto di lavoro o in seguito a un licenziamento.

I rischi per le aziende che assumono inconsapevolmente questi infiltrati sono molteplici e gravi:

  • Sabotaggio Interno: Furto di credenziali, accesso non autorizzato a infrastrutture critiche (cloud, API), compromissione di sistemi interni.
  • Furto di Proprietà Intellettuale e Dati Sensibili: Sottrazione di informazioni riservate per spionaggio industriale o successiva rivendita/estorsione.
  • Creazione di Backdoor: Installazione di malware o strumenti di accesso remoto per garantire l’accesso futuro ad altri gruppi di hacker nordcoreani.
  • Rischio Reputazionale e Finanziario: Danni all’immagine dell’azienda e perdite economiche significative dovute a violazioni di dati, interruzione delle attività o richieste di riscatto.

Come le Aziende Possono Difendersi

Contrastare questa minaccia richiede un approccio multilivello che integri controlli tecnici e attenzione al fattore umano:

  • Rafforzare il Processo di Reclutamento:
    • Verifica Approfondita dell’Identità: Andare oltre la semplice verifica dei documenti. Richiedere verifiche incrociate, referenze affidabili e, se possibile, incontri di persona o tramite servizi di verifica dell’identità robusti che includano controlli biometrici.
    • Analisi dell’Impronta Digitale Online: Esaminare attentamente la presenza online dei candidati. Verificare la coerenza dei profili sui social media e professionali, cercare eventuali cloni o attività sospette.
    • Verifica Tecnica Rigorosa: Durante i colloqui tecnici o le prove pratiche, porre domande approfondite per valutare la reale competenza e diffidare di risposte troppo generiche o copiate. Valutare l’uso della lingua inglese, spesso un punto debole per gli attaccanti.
    • Controlli Specifici Durante i Colloqui Video: Richiedere ai candidati di disattivare filtri digitali o sfocature dello sfondo che potrebbero nascondere l’uso di deepfake. Essere attenti a rumori di sottofondo anomali o incongruenze tra il video e l’audio. Verificare il serial number del dispositivo utilizzato per il colloquio.
  • Procedure di Onboarding Sicure:
    • Verifica dell’Indirizzo di Consegna delle Attrezzature: Prestare estrema attenzione a richieste di spedizione dell’hardware aziendale verso indirizzi diversi da quello dichiarato dal dipendente. L’uso di “laptop farms” è una tecnica nota. Se possibile, prevedere il ritiro di persona dell’attrezzatura.
    • Configurazione Standardizzata dei Dispositivi: Fornire e configurare direttamente i dispositivi aziendali, limitando l’uso di dispositivi personali (BYOD) che sono più difficili da controllare e monitorare.
    • Verifica dei Dati Bancari: Controllare attentamente i dati bancari forniti per l’accredito dello stipendio, prestando attenzione a conti in paesi a rischio o intestati a soggetti terzi.
  • Monitoraggio Continuo dell’Attività:
    • Sistemi EDR/XDR: Utilizzare soluzioni di Endpoint Detection and Response (EDR) o Extended Detection and Response (XDR) per monitorare costantemente l’attività sui dispositivi aziendali, rilevando comportamenti anomali o l’installazione di software non autorizzato (VPN, strumenti RMM, KVM).
    • Monitoraggio delle Connessioni di Rete: Controllare le connessioni VPN e l’accesso ai sistemi critici. Diffidare di connessioni provenienti da paesi insoliti o dell’uso di servizi VPN noti per essere utilizzati dagli attaccanti (come Astrill VPN).
    • Controllo degli Accessi: Implementare il principio del privilegio minimo, concedendo ai dipendenti solo gli accessi strettamente necessari per lo svolgimento delle loro mansioni.
    • Monitoraggio del Codice e della Proprietà Intellettuale: Adottare sistemi per il monitoraggio e la protezione del codice sorgente e della proprietà intellettuale.

Cosa fare in caso di Sospetta Infiltrazione

Se un’azienda sospetta di aver assunto un operatore nordcoreano o rileva attività sospette legate a un dipendente remoto:

  • Isolare l’Accesso: Revocare immediatamente tutti gli accessi del dipendente ai sistemi aziendali, alle reti e ai dati.
  • Avviare un’Indagine Interna: Coinvolgere il team di sicurezza informatica (o esperti esterni) per analizzare i dispositivi, i log di accesso e le attività svolte dal dipendente.
  • Raccogliere Prove: Documentare meticolosamente tutte le prove dell’attività sospetta o malevola.
  • Informare le Autorità: Segnalare l’accaduto alle forze dell’ordine competenti nel proprio paese (es. Polizia Postale in Italia) e, se appropriato, alle agenzie di sicurezza nazionale e agli organismi internazionali preposti alla cybersicurezza.
  • Valutare i Danni: Determinare l’estensione della compromissione, quali dati potrebbero essere stati rubati o compromessi e quali sistemi potrebbero essere stati interessati.
  • Rafforzare le Difese: Utilizzare le informazioni apprese dall’incidente per migliorare ulteriormente i processi di reclutamento, sicurezza e monitoraggio.

Questo tipo di minaccia evidenzia l’importanza di considerare i dipendenti remoti non solo come risorse, ma anche come potenziali vettori di rischio se non adeguatamente verificati e monitorati.

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *