Secondo un rapporto dell'azienda di sicurezza sudcoreana AhnLab, negli ultimi 12 mesi organizzazioni di hacker legate allo Stato, come il Lazarus Group, sostenuto dalla Corea del Nord, hanno fatto ampio ricorso allo spear phishing per rubare fondi e raccogliere informazioni. Il gruppo si è spesso spacciato per organizzatori di conferenze, contatti di lavoro o colleghi per indurre le persone ad aprire file o eseguire comandi.
Lazarus Group: lo spear phishing diventa più realistico con le esche basate sull'intelligenza artificiale
Secondo alcune segnalazioni , un'unità nota come Kimsuky ha utilizzato l'intelligenza artificiale per falsificare le immagini dei documenti d'identità militari e inserirle in un file ZIP per far sembrare legittimi i messaggi.
Gli esperti di sicurezza affermano che i falsi documenti d'identità erano abbastanza convincenti da indurre i destinatari ad aprire gli allegati, che poi eseguivano codice nascosto. L'incidente è stato fatto risalire a metà luglio 2025 e sembra segnare un passo avanti nel modo in cui gli aggressori creano le loro esche.
L'obiettivo è semplice: convincere un utente a fidarsi di un messaggio, aprire un file e l'aggressore ottiene un accesso. Questo accesso può portare al furto di credenziali, alla diffusione di malware o al prosciugamento di wallet di criptovalute. I gruppi legati a Pyongyang sono stati associati ad attacchi contro obiettivi finanziari e di difesa, tra gli altri.
Alle vittime del gruppo Lazarus viene chiesto di eseguire ordini
Alcune campagne non si basavano solo su exploit nascosti. In diversi casi, i bersagli venivano indotti a digitare autonomamente comandi PowerShell, a volte convinti di seguire istruzioni ufficiali.
Questo passaggio consente agli aggressori di eseguire script con privilegi elevati senza dover ricorrere a una vulnerabilità zero-day. Le agenzie di sicurezza hanno avvertito che questo trucco social si sta diffondendo e può essere difficile da individuare.
Lazarus Group: vecchi tipi di file, nuovi trucchi
Gli aggressori hanno anche sfruttato i file di collegamento di Windows e formati simili per nascondere comandi che vengono eseguiti silenziosamente all'apertura di un file. I ricercatori hanno documentato quasi 1.000 campioni .lnk dannosi collegati a campagne più ampie, dimostrando che i tipi di file familiari rimangono un metodo di distribuzione preferito. Questi collegamenti possono eseguire argomenti nascosti e scaricare ulteriori payload.
Perché questo è importante adesso
Questo rende gli attacchi più difficili da fermare: messaggi personalizzati, immagini manipolate dall'intelligenza artificiale e trucchi che chiedono agli utenti di eseguire codice. L'autenticazione a più fattori e le patch software aiutano, ma addestrare il personale a trattare le richieste insolite con sospetto rimane fondamentale. I team di sicurezza raccomandano reti di sicurezza di base: aggiornare, verificare e, in caso di dubbio, consultare un contatto noto.
Secondo i rapporti, Lazarus Group e Kimsuky continuano a essere attivi. Lazarus, secondo i risultati di AhnLab, è stato il gruppo più menzionato nelle analisi post-crimine informatico degli ultimi 12 mesi. Il gruppo è stato individuato per attacchi informatici a scopo finanziario, mentre Kimsuky sembra più concentrato sulla raccolta di informazioni e sull'inganno mirato.
Immagine in evidenza da Anadolu, grafico da TradingView