Filmati segreti da un laptop manomesso rivelano come le spie nordcoreane riescano a eludere il tuo team di sicurezza

Gli agenti nordcoreani sono stati ripresi in diretta dalle telecamere dopo che alcuni ricercatori di sicurezza li hanno attirati in un “laptop per sviluppatori” trappola, documentando come la squadra collegata a Lazarus abbia cercato di mimetizzarsi in un canale di assunzione crypto statunitense utilizzando strumenti di selezione AI e servizi cloud legittimi.

L’evoluzione del cybercrimine sponsorizzato dallo stato sarebbe stata documentata in tempo reale dai ricercatori di BCA LTD, NorthScan e dalla piattaforma di analisi malware ANY.RUN.

Catturare l’attaccante nordcoreano

Hacker News ha raccontato come, in un’operazione coordinata, il team abbia implementato un “honeypot”, ovvero un ambiente di sorveglianza camuffato da legittimo laptop per sviluppatori, per attirare il Lazarus Group.

Le riprese ottenute offrono al settore la visione più chiara mai avuta su come le unità nordcoreane, in particolare la divisione Famous Chollima, stiano aggirando i firewall tradizionali semplicemente facendosi assumere dal dipartimento risorse umane del bersaglio.

L’operazione è iniziata quando i ricercatori hanno creato una persona da sviluppatore e accettato una richiesta di colloquio da un recruiter con l’alias “Aaron”. Invece di distribuire un payload malware standard, il recruiter ha indirizzato il bersaglio verso una collaborazione da remoto, comune nel settore Web3.

Quando i ricercatori hanno concesso l’accesso al “laptop”, che in realtà era una macchina virtuale pesantemente monitorata progettata per imitare una workstation statunitense, gli agenti non hanno tentato di sfruttare vulnerabilità di codice.

Al contrario, si sono concentrati sull’instaurare la loro presenza come dipendenti modello.

Costruire fiducia

Una volta all’interno dell’ambiente controllato, gli agenti hanno dimostrato un flusso di lavoro ottimizzato per integrarsi piuttosto che per violare.

Hanno utilizzato software di automazione del lavoro legittimi, tra cui Simplify Copilot e AiApply, per generare risposte raffinate ai colloqui e compilare moduli di candidatura su larga scala.

Questo utilizzo di strumenti di produttività occidentali evidenzia un’escalation inquietante, mostrando che gli attori statali stanno sfruttando proprio le tecnologie AI pensate per ottimizzare le assunzioni aziendali per aggirarle.

L’indagine ha rivelato che gli attaccanti instradavano il loro traffico tramite Astrill VPN per mascherare la posizione e utilizzavano servizi basati su browser per gestire i codici di autenticazione a due fattori associati a identità rubate.

L’obiettivo finale non era la distruzione immediata, ma l’accesso a lungo termine. Gli agenti hanno configurato Google Remote Desktop tramite PowerShell con un PIN fisso, assicurandosi di poter mantenere il controllo della macchina anche se l’host avesse tentato di revocare i privilegi.

Così, i loro comandi erano amministrativi, eseguendo diagnostica di sistema per validare l’hardware.

In sostanza, non stavano tentando di violare immediatamente un wallet.

Al contrario, i nordcoreani cercavano di affermarsi come insider affidabili, posizionandosi per accedere a repository interni e dashboard cloud.

Un flusso di entrate da un miliardo di dollari

Questo episodio fa parte di un più ampio complesso industriale che ha trasformato la frode occupazionale in una delle principali fonti di reddito per il regime sanzionato.

Il Multilateral Sanctions Monitoring Team ha recentemente stimato che i gruppi collegati a Pyongyang abbiano rubato circa 2.83 billions di asset digitali tra il 2024 e settembre 2025.

Questa cifra, che rappresenta circa un terzo delle entrate in valuta estera della Corea del Nord, suggerisce che il cyber-furto sia diventato una strategia economica sovrana.

L’efficacia di questo vettore d’attacco “umano” è stata dimostrata in modo devastante a febbraio 2025 durante la violazione dell’exchange Bybit.

In quell’episodio, gli attaccanti attribuiti al gruppo TraderTraitor hanno utilizzato credenziali interne compromesse per mascherare trasferimenti esterni come movimenti di asset interni, ottenendo infine il controllo di uno smart contract di cold-wallet.

La crisi della conformità

Lo spostamento verso l’ingegneria sociale crea una grave crisi di responsabilità per l’industria degli asset digitali.

All’inizio di quest’anno, società di sicurezza come Huntress e Silent Push hanno documentato reti di società di facciata, tra cui BlockNovas e SoftGlide, che possiedono registrazioni aziendali statunitensi valide e profili LinkedIn credibili.

Queste entità riescono a indurre gli sviluppatori a installare script dannosi con il pretesto di valutazioni tecniche.

Per i responsabili della conformità e i Chief Information Security Officer, la sfida si è evoluta. I protocolli tradizionali Know Your Customer (KYC) si concentrano sul cliente, ma il flusso di lavoro di Lazarus richiede uno standard rigoroso di “Know Your Employee”.

Il Department of Justice ha già iniziato a intervenire, sequestrando 7.74 millions collegati a questi schemi IT, ma il ritardo nel rilevamento rimane elevato.

Come dimostra l’operazione di BCA LTD, l’unico modo per catturare questi attori potrebbe essere passare dalla difesa passiva all’inganno attivo, creando ambienti controllati che costringano gli attori delle minacce a rivelare le proprie tecniche prima che vengano consegnate loro le chiavi del tesoro.

L’articolo Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team è apparso per la prima volta su CryptoSlate.