By Paolo Bonanni
(L’Express) L’armata silenziosa di Pyongyang: gli hacker nordcoreani si infiltrano nelle aziende occidentali.
Un’inquietante indagine rivela come la Corea del Nord abbia costruito un’armata cyber segreta, composta da migliaia di hacker altamente specializzati, che si infiltrano nelle aziende occidentali, in particolare europee, presentandosi come lavoratori a distanza per finanziare il regime e condurre operazioni di spionaggio. Questo fenomeno, in crescita negli ultimi mesi, rappresenta una seria minaccia per la sicurezza informatica globale.
L’interesse della Corea del Nord per l’informatica è esploso con l’arrivo al potere di Kim Jong-un nel 2011, che ha fatto di Internet e delle nuove tecnologie una priorità, incoraggiando corsi di ingegneria e coding nelle università. Sebbene l’accesso a Internet sia estremamente limitato nel Paese, una connessione via Cina e Russia a Pyongyang consente di ospitare i siti web nazionali, e gli apprendisti ingegneri si formano su computer di contrabbando e forum russi di cybercriminali.
La tattica del cavallo di Troia digitale
La strategia è tanto semplice quanto efficace: gli hacker nordcoreani si fanno assumere come sviluppatori informatici o specialisti IT per posizioni a tempo pieno o freelance, offrendo servizi a distanza. Il loro vero nome rimane un enigma, spesso utilizzano false identità come “Paul”, “André” o “Suzanne”. Alcuni hanno il solo compito di svolgere il lavoro assegnato e riversare lo stipendio al regime. Altri, invece, sono incaricati di operazioni di spionaggio, installazione di virus o ricatto.
Il settore delle criptovalute è un bersaglio frequente; a febbraio, i nordcoreani hanno rubato l’equivalente di 1,5 miliardi di dollari dalla piattaforma Bybit. Si stima che l’esercito cibernetico di Pyongyang conti circa 8.400 persone, diventando una delle principali fonti di reddito per il regime.
L’evoluzione di una minaccia
Inizialmente, le grandi aziende americane erano i principali obiettivi. Tuttavia, negli ultimi mesi, si è verificato uno spostamento verso l’Europa. Questo perché gli Stati Uniti hanno intensificato le indagini e le azioni legali contro questi gruppi, e le aziende americane hanno rafforzato significativamente le loro misure di sicurezza e i processi di reclutamento. Le aziende europee sono quindi diventate prede più allettanti, spesso meno protette.
Per aumentare le loro possibilità di essere reclutati, gli hacker nordcoreani creano siti web con falsi CV, utilizzando foto di attori come Song Weilong e menzionando società di comodo, a volte legalmente registrate, soprattutto in Asia. Le piattaforme freelance come Freelancer, Malt o Upwork sono un’altra porta d’ingresso. Essi possono persino acquistare account certificati e credenziali legati a profili su Upwork, Freelancer, Fiverr e persino LinkedIn e WhatsApp per poche centinaia di euro.
Tattiche con l’IA
Durante i colloqui, spesso in videoconferenza per posizioni a distanza, gli hacker utilizzano script predefiniti e si affidano all’intelligenza artificiale (IA). Ad esempio, fingono che il microfono sia difettoso e rispondono per iscritto, usando ChatGPT per formulare le risposte. Utilizzano anche software di deepfake per alterare il loro aspetto o mostrare documenti d’identità falsi, proiettando un’immagine ingannevole su un pezzo di plastica verde. Inoltre, più hacker possono candidarsi per la stessa posizione, aiutandosi a vicenda nel processo di selezione.
Per evitare di essere smascherati, i nordcoreani si avvalgono di “facilitatori” residenti nei Paesi bersaglio. Questi intermediari recuperano l’hardware inviato dalle aziende ai loro “dipendenti” e gestiscono “fattorie” di computer, controllate a distanza dagli hacker che operano da città russe o cinesi vicino al confine nordcoreano. I facilitatori possono anche registrare società di comodo nei Paesi in cui risiedono.