Sequestro di Criptovalute e Lavoratori IT Nordcoreani
La scorsa settimana, il Dipartimento di Giustizia degli Stati Uniti ha presentato una richiesta di sequestro civile per 7,7 milioni di dollari in criptovalute, ricavati da un gruppo di lavoratori IT nordcoreani che hanno ottenuto fraudolentemente un impiego con aziende negli Stati Uniti e all’estero. Questa iniziativa fa parte di un’operazione volta a contrastare uno schema nordcoreano mirato ad eludere le sanzioni; nel mese di aprile 2023, il governo americano ha accusato Sim Hyon Sop, un rappresentante della Banca del Commercio Estero della Corea del Nord, in relazione a tale schema.
Strategie di Frode e Riciclaggio
Secondo il DOJ, i lavoratori IT nordcoreani hanno trovato occupazione presso aziende crypto statunitensi utilizzando identità false o ottenute in modo fraudolento. Hanno poi riciclato i guadagni tramite Sim, a beneficio del regime di Pyongyang. La denuncia di sequestro evidenzia che i lavoratori IT erano stati impiegati in diverse località del mondo, tra cui Cina, Russia e Laos. Nascondendo le loro vere identità e posizioni, sono riusciti a ottenere posti di lavoro con aziende nel settore blockchain, che generalmente li pagavano in stablecoin come USDC o Tether.
“Per anni, la Corea del Nord ha sfruttato il contracting IT remoto globale e gli ecosistemi delle criptovalute per eludere le sanzioni statunitensi e finanziare i suoi programmi di armamento”, ha dichiarato Sue J. Bai, responsabile della Divisione Sicurezza Nazionale del DOJ.
Il Dipartimento di Giustizia ha riferito che i lavoratori IT hanno utilizzato vari metodi per riciclare i guadagni fraudolenti, come l’apertura di conti di scambio con documenti falsi, effettuando molteplici piccole transazioni, convertendo token, acquistando NFT e mescolando i fondi.
Indagini e Implicazioni
Una volta apparentemente ripuliti, i fondi venivano inviati al governo nordcoreano tramite Sim Hyon Sop e Kim Sang Man, CEO di una società operante sotto il Ministero della Difesa della Corea del Nord. Nel mese di aprile 2023, il DOJ ha accusato Sim Hyon Sop di due reati distinti: cospirazione con lavoratori nordcoreani per guadagnare reddito attraverso impieghi fraudolenti e cospirazione con trader crypto OTC per utilizzare il reddito generato in modo fraudolento per acquistare beni per la Corea del Nord.
L’ufficio del FBI di Chicago e l’Unità Attività Virtuali del FBI stanno indagando sui casi legati alla denuncia di sequestro, presentata dal DOJ presso il Tribunale Distrettuale degli Stati Uniti per il Distretto di Columbia. “L’indagine del FBI ha rivelato una massiccia campagna da parte dei lavoratori IT nordcoreani per frodare aziende statunitensi, ottenendo lavoro attraverso identità rubate di cittadini americani, tutto per consentire al governo nordcoreano di eludere le sanzioni statunitensi e generare reddito per il suo regime autoritario”, ha affermato Roman Rozhavsky, Direttore Associato della Divisione controintelligence del FBI.
Crescente Minaccia dei Lavoratori IT Nordcoreani
Sebbene la portata precisa del lavoro IT fraudolento nordcoreano non sia completamente stabilita, la maggior parte degli esperti condivide l’opinione che il problema stia diventando sempre più significativo.
“La minaccia rappresentata dai lavoratori IT nordcoreani che si spacciano per legittimi dipendenti remoti è in crescita e sta progredendo rapidamente”, spiega Andrew Fierman, responsabile dell’intelligence di sicurezza nazionale di Chainalysis, intervistato da Decrypt.
Come prova della crescente sofisticatezza della minaccia, Fierman cita l’esempio delle accuse del DOJ di dicembre nei confronti di 14 cittadini nordcoreani, che avevano operato sotto identità false guadagnando 88 milioni di dollari tramite uno schema della durata di sei anni.
“Sebbene sia difficile assegnare una percentuale esatta del reddito illecito della Corea del Nord derivante dal lavoro IT fraudolento, è chiaro, attraverso i rapporti governativi e le ricerche nel campo della cybersecurity, che questa pratica è diventata una fonte di reddito affidabile per il regime, soprattutto quando associata a obiettivi di spionaggio e a successivi exploit”, afferma Fierman.
Altri esperti di sicurezza concordano sul fatto che la minaccia dei dipendenti IT nordcoreani illeciti stia diventando più prevalente, con Michael Barnhart – Investigatore Principale di i3 Insider presso DTEX Systems – che ha dichiarato a Decrypt che le loro tattiche stanno diventando sempre più sofisticate. “Questi operatori non sono solo una potenziale minaccia; si sono già inseriti attivamente in organizzazioni, e le infrastrutture critiche e le catene di approvvigionamento globali sono già compromesse”, afferma.
È interessante notare che Barnhart stima che la Corea del Nord possa generare centinaia di milioni di dollari all’anno dal lavoro IT fraudolento e che qualsiasi cifra registrata o somma sarebbe probabilmente sottovalutata. “Il detto ‘non sai cosa non sai’ è pertinente qui, poiché ogni giorno viene scoperto un nuovo schema per guadagnare denaro”, spiega.
Conseguenze e Evoluzione della Minaccia
“Inoltre, gran parte del reddito viene offuscato per apparire come elementi di bande cybercriminali o come sforzi completamente legittimi, complicando così l’attribuzione generale”. Mentre la denuncia di sequestro di giovedì suggerisce che il governo degli Stati Uniti sta migliorando nella gestione delle operazioni della Corea del Nord, l’aumento della sofisticatezza da parte di quest’ultima potrebbe far sì che le autorità americane e internazionali debbano continuare a inseguire per un certo periodo.
“Ciò che è particolarmente preoccupante è la capacità di questi lavoratori di integrarsi perfettamente: sfruttano l’IA generativa per creare profili falsi, utilizzano strumenti deepfake per le interviste e persino sistemi di supporto per superare i controlli tecnici”.
Ad aprile, il gruppo di intelligence sulle minacce di Google ha rivelato che gli attori nordcoreani si sono espansi oltre gli Stati Uniti, infiltrandosi in progetti di criptovaluta in Regno Unito, Germania, Portogallo e Serbia. Questo include progetti che sviluppano mercati blockchain, applicazioni web AI e contratti intelligenti su Solana, con complici nel Regno Unito e negli Stati Uniti che aiutano gli operatori a eludere i controlli di identificazione e ricevere pagamenti attraverso piattaforme come TransferWise e Payoneer.
