Le indagini condotte dal famoso investigatore della blockchain ZachXBT hanno portato alla luce una vasta infiltrazione nordcoreana nel mercato del lavoro globale dedicato allo sviluppo delle criptovalute.
Una fonte anonima ha recentemente compromesso un dispositivo appartenente a un addetto IT della RPDC e ha fornito informazioni senza precedenti su come un piccolo team di cinque addetti IT abbia gestito oltre 30 false identità.
Gli agenti della RPDC invadono il mercato del lavoro delle criptovalute
Secondo i tweet di ZachXBT, il team della RPDC avrebbe utilizzato documenti d'identità rilasciati dal governo per registrare account su Upwork e LinkedIn, al fine di ottenere ruoli da sviluppatore in diversi progetti. Gli investigatori hanno trovato un'esportazione dei profili Google Drive, Chrome e screenshot dei dipendenti, che ha rivelato come i prodotti Google fossero fondamentali per l'organizzazione di programmi, attività e budget, con comunicazioni condotte principalmente in inglese.
Tra i documenti c'è un foglio di calcolo del 2025 contenente report settimanali dei membri del team, che fanno luce sulle loro attività interne e sulla loro mentalità. Tra le voci più comuni figurano affermazioni come "Non riesco a capire i requisiti del lavoro e non so cosa devo fare", con note autodidatte come "Soluzione/correzione: impegnarsi a sufficienza".
Un altro foglio di calcolo tiene traccia delle spese, mostrando l'acquisto di numeri di previdenza sociale, account Upwork e LinkedIn, numeri di telefono, abbonamenti a servizi di intelligenza artificiale, noleggi di computer e servizi VPN o proxy. Sono stati recuperati anche calendari di riunioni e script per false identità, tra cui una a nome "Henry Zhang".
Secondo quanto riferito, i metodi operativi del team prevedevano l'acquisto o il noleggio di computer, l'utilizzo di AnyDesk per lavorare da remoto e la conversione di denaro fiat guadagnato in criptovaluta tramite Payoneer. Un indirizzo wallet, 0x78e1, associato al gruppo è collegato on-chain a un exploit da 680.000 dollari su Favrr nel giugno 2025, dove il CTO del progetto e altri sviluppatori sono stati successivamente identificati come dipendenti IT della RPDC utilizzando documenti falsi. Ulteriori dipendenti collegati alla RPDC sono stati collegati ai progetti tramite l'indirizzo 0x78e1.
Tra gli indicatori della loro origine nordcoreana c'è l'uso frequente di Google Translate per le ricerche in lingua coreana effettuate da indirizzi IP russi. ZachXBT ha affermato che questi lavoratori IT non sono particolarmente sofisticati, ma la loro perseveranza è rafforzata dall'elevato numero di ruoli a cui mirano in tutto il mondo.
Le sfide nel contrastare queste operazioni includono la scarsa collaborazione tra aziende private e servizi, nonché la resistenza da parte dei team quando vengono segnalate attività fraudolente.
La minaccia persistente della Corea del Nord
Gli hacker nordcoreani, in particolare il gruppo Lazarus, continuano a rappresentare una minaccia significativa per il settore. Nel febbraio 2025, il gruppo ha orchestrato il più grande attacco hacker della storia ai danni di un exchange di criptovalute, rubando circa 1,5 miliardi di dollari in Ethereum da Bybit, con sede a Dubai.
L'attacco ha sfruttato le vulnerabilità di un fornitore di wallet di terze parti, Safe{Wallet}, che ha permesso agli hacker di aggirare le misure di sicurezza multi-firma e dirottare fondi su più wallet. L'FBI ha attribuito la violazione a agenti nordcoreani, etichettandola come "TraderTraitor".
Successivamente, nel luglio 2025, CoinDCX, un exchange di criptovalute indiano, è stato vittima di un furto da 44 milioni di dollari, anch'esso collegato al Lazarus Group. Gli aggressori si sono infiltrati nell'infrastruttura di liquidità di CoinDCX, sfruttando le credenziali interne esposte per portare a termine il furto.
L'articolo Google Docs, Upwork e LinkedIn: all'interno delle operazioni segrete di crittografia dei dipendenti IT nordcoreani è apparso per la prima volta su CryptoPotato .