Secondo un nuovo rapporto del Threat Intelligence Group (GTIG) di Google, i lavoratori IT legati alla Corea del Nord avrebbero espanso le loro operazioni oltre gli Stati Uniti, prendendo di mira progetti di criptovaluta, blockchain e sviluppo web nel Regno Unito e in Europa.
Questi individui, che operano sotto false identità, si sono presumibilmente inseriti in posizioni remote legate alle criptovalute e alla blockchain al fine di generare entrate per il regime nordcoreano.
Crescita delle infrastrutture globali e rischi per le aziende
Le crescenti sfide di controllo e verifica negli Stati Uniti hanno spinto molti di questi lavoratori a cercare opportunità altrove, principalmente in Europa. Secondo il consulente di GTIG Jamie Collier, gli attori hanno creato una rete globale di personaggi fraudolenti per navigare meglio nei sistemi di assunzione internazionali .
Il rapporto rileva che alcuni di questi lavoratori hanno assunto ruoli nello sviluppo della blockchain che coinvolge piattaforme di contratti intelligenti o reti crittografiche come Solana e Anchor, e in progetti che sfruttano l'intelligenza artificiale attraverso integrazioni blockchain.
Collier sottolinea l'esistenza di facilitatori nel Regno Unito, che sostengono la formazione di un'infrastruttura più ampia che consenta la continuità delle operazioni. L'indagine di GTIG ha scoperto che i lavoratori nordcoreani erano riusciti a partecipare a progetti che abbracciavano ecosistemi blockchain avanzati e sviluppo tecnologico tradizionale.
Secondo quanto riferito, alcuni individui hanno utilizzato più identità false in tutta Europa , presentando anche credenziali di università come l'Università di Belgrado e rivendicando la residenza in paesi tra cui Slovacchia, Germania e Portogallo.
L'attività fraudolenta comporta rischi significativi per le società di crittografia coinvolte. GTIG avverte che le organizzazioni che assumono questi lavoratori potrebbero dover affrontare minacce di spionaggio, furto di dati e interruzioni interne.
Secondo quanto riferito, questi rischi sono aumentati da ottobre, con ex lavoratori che avrebbero minacciato i datori di lavoro con fughe di dati se le condizioni di licenziamento non fossero state soddisfatte. In queste minacce sono stati citati dati proprietari sensibili, compreso il codice sorgente.
Tattiche di frode e manipolazione del reclutamento
Il rapporto del GTIG ha anche scoperto prove più ampie di manipolazione delle assunzioni, comprese le credenziali di accesso per i portali di lavoro europei e istruzioni dettagliate per la navigazione su queste piattaforme.
È stato inoltre identificato un intermediario che facilita l'uso di passaporti falsificati. Collier ha sottolineato che la campagna sembra guidata da motivazioni finanziarie legate allo Stato nordcoreano, con una crescente pressione per rimpiazzare i flussi di reddito perduti provenienti dagli Stati Uniti.
In particolare, con la continua diversificazione dei loro obiettivi e il migliore utilizzo delle strategie internazionali di ricerca di lavoro, l’infiltrazione delle aziende blockchain e cripto potrebbe continuare se lasciata senza controllo.
Nel frattempo, le organizzazioni in tutta Europa e altrove sembrano già adottare misure per rafforzare le procedure di verifica dell’identità e monitorare attività insolite tra il personale remoto. Collier ha scritto:
Per evitare la distribuzione di laptop aziendali, alcune aziende adottano una politica BYOD (Bring Your Own Device), consentendo ai dipendenti di accedere ai sistemi aziendali tramite macchine virtuali. A differenza dei laptop aziendali che possono essere monitorati, i dispositivi personali che operano secondo una policy BYOD potrebbero non disporre dei tradizionali strumenti di sicurezza e registrazione, rendendo difficile tenere traccia delle attività e identificare potenziali minacce.
Immagine in primo piano creata con DALL-E, grafico da TradingView