Nuove strategie di autofinanziamento per la Corea del Nord

Gli USA hanno scoperto un’operazione fraudolenta della Corea del Nord che ha portato a
collocare da remoto migliaia di lavoratori informatici in centinaia di aziende nel
mondo. L’esito dell’operazione, che ha coinvolto realtà di alto profilo, fra le quali compagnie
Fortune 500, è stato convogliare nelle casse di Pyongyang stipendi per circa 6,8 milioni
di dollari.

Come si legge nei documenti giudiziari, la RPDC ha utilizzato identità autentiche di cittadini
statunitensi, piattaforme di pagamento e account di siti di lavoro online americani, oltre a
computer proxy situati negli Stati Uniti, coinvolgendo persone ed entità, sia conniventi che
inconsapevoli. Risulterebbero tentativi di questo tipo anche presso due agenzie governative
americane.

I procedimenti giudiziari risultano a carico della cittadina statunitense Christina Marie
Chapman, dell’ucraino Oleksandr Didenko e di altri tre individui stranieri.

Chapman avrebbe aiutato gli aspiranti lavoratori a spacciarsi per cittadini statunitensi e
avrebbe gestito una “laptop farm” nella propria residenza, per far credere che i computer
usati dai nordcoreani si collegassero dagli Stati Uniti. La Chapman è anche accusata di aver
contribuito a trasferire al di fuori degli USA il denaro generato. Didenko avrebbe offerto una
gamma completa di servizi per consentire a un individuo di presentarsi sotto falsa identità e
candidarsi per lavori informatici a distanza. In particolare, gestiva un sito web che
pubblicizzava la creazione, l’acquisto e l’affitto di account su siti web americani, utilizzando
false identità, e pubblicizzava anche il noleggio di carte di credito e SIM.

Ricercatori di sicurezza hanno tracciato un nuovo avversario nordcoreano le cui
operazioni rientrerebbero in questo schema fraudolento. Rinominato Moonstone Sleet
(Storm-1789), il gruppo avrebbe infatti cercato di occupare posizioni lavorative di sviluppo
software presso diverse società legittime. Inoltre, sempre nella prospettiva della raccolta di
denaro, avrebbe sfruttato il ransomware FakePenny nell’ambito di campagne estorsive che
hanno coinvolto, fra gli altri, un’azienda di tecnologia della Difesa, un produttore di tecnologia
per droni e una compagnia che realizza componenti per aerei.

Queste attività sono in linea con la ormai consolidata dinamica nordcoreana che
coniuga campagne di cyberspionaggio e attività finalizzate all’autofinanziamento.

Fra gli esempi più eclatanti del 2023, Lazarus Group è stato indicato come il
responsabile di furti di criptovalute ai danni delle piattaforme Atomic Wallet,
CoinsPaid, Alphapo e Stake[.]com per un totale di quasi 240 milioni di dollari.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.