La cyber criminalità nordcoreana si infiltra nelle aziende occidentali

Da anni, il regime nordcoreano piazza giovani informatici nelle aziende occidentali sfruttando identità rubate e l’espansione del lavoro remoto. E, più recentemente, l’intelligenza artificiale. Il fondatore della startup di cyber sicurezza C.Side, il belga Wijckmans, ha intuito qualcosa di sospetto quando ha incontrato candidati con caratteristiche comuni. Avevano tutti nomi anglosassoni, connessioni lente, sfondi virtuali e scarso interesse per il lavoro. Approfondendo, ha scoperto un’ondata di candidature anomale, con test di programmazione eseguiti tramite VPN.

Contemporaneamente al sospetto di C-Side, Christina Chapman, una donna del Minnesota, ha rivelato il ruolo dei facilitatori locali. Assunta per rappresentare informatici d’oltreoceano, Chapman gestiva documenti falsi, stipendi e il cosiddetto “parco computer,” permettendo ai falsi lavoratori di operare da remoto come se fossero negli Stati Uniti. Nel 2023, gli investigatori federali hanno scoperto la sua complicità nel generare profitti illeciti per il governo nordcoreano, confermando l’esistenza di una rete di cyber criminali sofisticata e ben organizzata.

Zitti, zitti sabotano le aziende occidentali

Christina Chapman è diventata un tassello chiave nel sistema che consentiva ai falsi lavoratori di sembrare presenti sul territorio statunitense. L’FBI ha scoperto che il suo operato aveva facilitato il trasferimento di almeno 17 milioni di dollari, portando alla sua incriminazione per frode telematica, furto d’identità e riciclaggio. Investigazioni hanno rivelato un’ampia rete di cyber criminali, con falsi recruiter e aziende fantasma che hanno truffato centinaia di società, dalle grandi case automobilistiche americane ai colossi della Silicon Valley. L’evoluzione del cybercrimine nordcoreano ha portato il regime a diversificare le sue operazioni, passando dai ransomware ai furti di criptovalute multimilionari, sfruttando l’espansione del lavoro a distanza per consolidare le sue finanze illecite.

Secondo il governo statunitense, una squadra di impostori informatici nordcoreani può generare fino a 3 milioni di dollari l’anno per finanziare il regime di Pyongyang. Questo flusso di denaro alimenta attività che vanno dal fondo personale di Kim Jong Un al programma di armi nucleari, rendendo l’infiltrazione nel lavoro remoto una strategia discreta ma efficace. Nel 2022, un’importante multinazionale ha assunto un programmatore da remoto, considerato il più produttivo del team. Solo dopo un anno un dettaglio banale ha fatto emergere sospetti: aveva dimenticato la data di nascita dichiarata nei documenti. Un’indagine interna ha rivelato che il dipendente utilizzava strumenti di accesso remoto. Solo in seguito, il suo nome è emerso nell’inchiesta federale legata a Christina Chapman, la facilitatrice che aveva gestito documenti falsi e parchi informatici per l’organizzazione nordcoreana.

La sofisticata “infiltrazione” nordcoreana nel lavoro remoto

Gli infiltrati non sempre puntano al furto di dati, spesso lavorano per mesi o anni senza destare sospetti, assicurandosi stipendi elevati da destinare al regime. In altri casi, si inseriscono nei sistemi per scaricare enormi quantità di dati o installare malware, lasciandoli dormienti fino al momento opportuno. Le aziende stanno intensificando i controlli, ma i truffatori sfruttano deepfake, filtri video e intelligenza artificiale per aggirare verifiche e colloqui. Questa evoluzione del cyber crimine nordcoreano ha reso difficile distinguere un lavoratore remoto legittimo da un agente straniero, aumentando i rischi per la sicurezza informatica globale.

L’inganno digitale e la vendetta di Wijckmans

Il fondatore C.Side, Wijckmans, ha intuito qualcosa di sospetto dopo aver letto del caso Knowbe4, una vicenda legata alla sicurezza informatica. I suoi sospetti si sono diretti su alcuni candidati che stavano cercando di entrare nella sua azienda. Deciso a vederci chiaro, inizia a fare delle verifiche e scopre che alcuni profili usano identità rubate. Non solo: alcuni di loro sono collegati a operazioni nordcoreane. A quel punto, Wijckmans decide di mettere in scena un esperimento, e invita un giornalista ad assistere. Alle 3 del mattino, l’imprenditore si collega su Google Meet per un colloquio con un candidato che dice di trovarsi a Miami. Il suo nome è “Harry”, e il dettaglio più strano è che, nonostante l’orario, sembra fin troppo riposato e lucido.

Ha poco meno di trent’anni, capelli corti e neri, un maglione a girocollo e una cuffia senza brand. Dice di essere nato a New York, ma il suo accento è decisamente atipico. Parla di linguaggi di programmazione, framework e tecnologie, ma continua a guardare verso destra, come se leggesse da uno schermo esterno. Quando Wijckmans aumenta il livello delle domande tecniche, Harry si blocca. Dopo una pausa, chiede di uscire dalla chiamata per sistemare il microfono. Quando torna online, le sue risposte sono molto più fluidem quasi troppo. Forse ha riavviato il suo chatbot o ha chiesto aiuto a un collega. Il secondo candidato si fa chiamare “Nic”, e sul suo curriculum ha inserito un link al suo sito web. Ma c’è un problema evidente: non somiglia affatto alla foto che appare sul portale.

La cyber spia arriva da oriente

Durante il colloquio, il suo inglese è confuso e mal strutturato. Quando gli chiedono che ora è, risponde: “Le sei dopo“, prima di correggersi con “Le sette meno un quarto“. Anche il suo luogo di residenza suona vago. “Per ora sono in Ohio“, come se avesse appena scelto la risposta giusta a un quiz. Ma il momento più surreale arriva quando Wijckmans gli chiede qualcosa sulla sicurezza informatica. Nic inizia a parlare di politica, funzionari governativi e leggi sull’immigrazione, come se avesse scambiato il termine Border Gateway Protocol—che riguarda il traffico Internet con il concetto di confine nazionale. Wijckmans capisce che sta perdendo tempo e chiude il colloquio bruscamente.

La vendetta digitale

Dopo questa esperienza, l’imprenditore ha deciso di creare un test trappola per smascherare futuri impostori. Ha sviluppato una pagina web che simula un esame di programmazione, ma non appena il candidato falso preme il pulsante per iniziare la prova, il suo computer viene sommerso da pop-up con informazioni su come disertare dalla Corea del Nord. Come ciliegina sulla torta, il sito farà partire a tutto volume Never Gonna Give You Up o l’inno nazionale degli Stati Uniti, mentre il browser inizierà a scaricare file a caso e a emettere un bip insopportabile. “Giusto una piccola vendetta“, ha commentano l’imprenditore. Ovviamente tutto questo non fermerà le operazioni nordcoreane. Ma almeno sono avvisati.