Attività di Hacking Nordcoreano nel Settore IT
I gruppi di hacking nordcoreani stanno approfittando dell’attrattiva del lavoro freelance nel settore IT per ottenere accesso ai sistemi cloud e rubare criptovalute del valore di milioni di dollari, secondo ricerche condotte da Google Cloud e dalla società di sicurezza Wiz.
Rapporto di Google Cloud
Il rapporto “H2 2025 Cloud Threat Horizons” di Google Cloud rivela che il Google Threat Intelligence Group sta “attivamente monitorando” UNC4899, un’unità di hacking nordcoreana che ha hackerato con successo due aziende dopo aver contattato i dipendenti tramite i social media.
In entrambi i casi, UNC4899 ha assegnato ai dipendenti compiti che hanno portato all’esecuzione di malware sui loro workstation, consentendo al gruppo di hacking di stabilire connessioni tra i suoi centri di comando e controllo e i sistemi cloud delle aziende target.
Di conseguenza, UNC4899 è stata in grado di esplorare gli ambienti cloud delle vittime, ottenendo materiali di accesso e identificando infine gli host responsabili dell’elaborazione delle transazioni in criptovaluta. Sebbene ciascun incidente abbia preso di mira aziende diverse (non nominate) e servizi cloud diversi (Google Cloud e AWS), entrambi hanno portato al furto di “diversi milioni in criptovalute”.
Strategie di Reclutamento e Tecnologie Utilizzate
L’uso di offerte di lavoro da parte degli hacker nordcoreani è ora “piuttosto comune e diffuso”, riflettendo un notevole grado di sofisticazione, ha dichiarato Jamie Collier, Lead Threat Intelligence Advisor per l’Europa del Google Threat Intelligence Group, a Decrypt. “Fingono frequentemente di essere reclutatori, giornalisti, esperti di materia o professori universitari quando contattano i target”, ha detto, aggiungendo che spesso comunicano più volte per costruire un rapporto con i target.
Collier spiega che gli attori delle minacce nordcoreani sono stati tra i primi ad adottare rapidamente nuove tecnologie come l’AI, che utilizzano per produrre “email più convincenti per costruire rapporti” e per scrivere i loro script malevoli.
Attività di UNC4899 e TraderTraitor
Anche la società di sicurezza cloud Wiz riporta le gesta di UNC4899, notando che il gruppo è anche conosciuto con i nomi TraderTraitor, Jade Sleet e Slow Pisces. TraderTraitor rappresenta un certo tipo di attività di minaccia piuttosto che un gruppo specifico, con le entità sostenute dalla Corea del Nord, come Lazarus Group, APT38, BlueNoroff e Stardust Chollima, tutte coinvolte nei tipici sfruttamenti di TraderTraitor, ha affermato Wiz.
Nella sua analisi di UNC4899/TraderTraitor, Wiz nota che le campagne sono iniziate nel 2020 e che fin dall’inizio i gruppi di hacking responsabili hanno utilizzato offerte di lavoro per indurre i dipendenti a scaricare app malevole per criptovalute costruite su JavaScript e Node.js utilizzando il framework Electron.
La campagna del gruppo dal 2020 al 2022 ha “violato con successo più organizzazioni”, secondo Wiz, incluso il furto di 620 milioni di dollari del Lazarus Group dalla rete Ronin di Axie Infinity.
Impatto e Prospettive Future
L’attività di minaccia di TraderTraitor si è poi evoluta nel 2023 per incorporare l’uso di codice open-source malevolo, mentre nel 2024 ha raddoppiato le offerte di lavoro false, prendendo di mira principalmente gli exchange. In particolare, i gruppi TraderTraitor sono stati responsabili dell’hack di 305 milioni di dollari della DMM Bitcoin giapponese e anche dell’hack di 1,5 miliardi di dollari di Bybit alla fine del 2024, che l’exchange ha rivelato a febbraio di quest’anno.
Come per le gesta evidenziate da Google, questi hack hanno preso di mira i sistemi cloud in vari gradi e, secondo Wiz, tali sistemi rappresentano una vulnerabilità significativa per le criptovalute. “Crediamo che TraderTraitor si sia concentrato su sfruttamenti e tecniche legate al cloud perché è lì che si trovano i dati, e quindi il denaro”, ha dichiarato Benjamin Read, Direttore della Strategic Threat Intelligence di Wiz, a Decrypt.
Read ha spiegato che prendere di mira le tecnologie cloud consente ai gruppi di hacking di impattare una vasta gamma di obiettivi, aumentando il potenziale di guadagnare di più. Questi gruppi stanno facendo affari d’oro, con “stime di 1,6 miliardi di dollari in criptovalute rubate finora nel 2025”, ha detto, aggiungendo che TraderTraitor e gruppi correlati hanno forze lavoro “probabilmente nell’ordine delle migliaia di persone”, che lavorano in numerosi e talvolta sovrapposti gruppi.
“Sebbene sia difficile fornire un numero specifico, è chiaro che il regime nordcoreano sta investendo risorse significative in queste capacità.”
In definitiva, tale investimento ha consentito alla Corea del Nord di diventare un leader nell’hacking delle criptovalute, con un rapporto di febbraio di TRM Labs che concludeva che il paese rappresentava il 35% di tutti i fondi rubati lo scorso anno. Gli esperti hanno affermato che tutti i segnali disponibili suggeriscono che il paese probabilmente rimarrà un punto di riferimento nell’hacking legato alle criptovalute per un certo periodo di tempo, specialmente data la capacità dei suoi operatori di sviluppare nuove tecniche.
“Gli attori delle minacce nordcoreani sono una forza dinamica e agile che si adatta continuamente per soddisfare gli obiettivi strategici e finanziari del regime”, ha affermato Collier di Google.
Ribadendo che gli hacker nordcoreani stanno facendo sempre più uso dell’AI, Collier ha spiegato che tale uso consente una “moltiplicazione della forza”, che a sua volta ha permesso agli hacker di ampliare le loro gesta. “Non vediamo prove che stiano rallentando e ci aspettiamo che questa espansione continui”, ha concluso.
