Agenti legati alla Corea del Nord hanno trascorso anni a infiltrarsi silenziosamente all'interno di aziende di criptovalute e progetti DeFi.
Una lunga saga di cripto-infiltrazione
Le notizie e i resoconti provenienti dalla Repubblica Popolare Democratica di Corea tendono ad avere un'atmosfera da film d'azione e teorie del complotto. Tuttavia, spesso si rivelano veritieri e per nulla esagerati.
Questa volta, il ricercatore di sicurezza e sviluppatore di MetaMask Taylor Monahan ha affermato in un post di domenica sul social network X che questi metodi risalgono agli anni formativi della DeFi, con soggetti legati alla RPDC che hanno contribuito silenziosamente a diversi protocolli importanti e ampiamente utilizzati.
Sìì
Molti informatici della RPDC hanno creato i protocolli che conoscete e apprezzate, fin dall'estate della definizione.
L'esperienza di "7 anni nello sviluppo blockchain" riportata nel loro curriculum non è una bugia. https://t.co/EQNgl5KhJ5
— Tay
(@tayvano_) 5 aprile 2026
(@tayvano_) Sostiene che i tecnici informatici nordcoreani abbiano lavorato in silenzio all'interno di oltre 40 progetti DeFi per circa sette anni, inclusi protocolli diventati famosi dopo la DeFi Summer.
oh dio uhhhh come sushi, catena, igname, sottaceto, raccolto, recupero, altalena, pagato, naos, shezmu, qrolli, zafferano, sifu, napier, armonia, mirtillo, stabble, onering, elementale, divvy, la token, impermax, kira, cuoco, fantom, ankr, gamerse, metaplay, spezia, fagiolo magico, deltaprime,…
— Tay
Questi lavoratori spesso possiedono una "vera" esperienza on-chain (sette anni di sviluppo blockchain) ma operano con identità rubate o sintetiche, inserendosi nei team attraverso i normali canali di assunzione.
I suoi post rispondono a Tim, uno sviluppatore pseudonimo e volto pubblico di Titan, un aggregatore DEX e progetto di routing con sede a Solana, il quale afferma che per un precedente lavoro avevano intervistato un candidato estremamente qualificato che si è poi rivelato essere un agente di Lazarus, il gruppo affiliato alla Corea del Nord che ha riciclato miliardi di dollari di denaro rubato attraverso reti di criptovalute.
In un precedente lavoro, abbiamo intervistato una persona che si è rivelata essere un agente di Lazarus. Faceva videochiamate ed era estremamente qualificato.
Lo abbiamo invitato per un colloquio di persona, ma alla fine ha rifiutato di venire, quindi abbiamo rinunciato.
Solo in seguito abbiamo trovato il suo nome in un archivio di informazioni di Lazarus… https://t.co/Vnvffrkjee
— tim | Titano (@timahhl) 5 aprile 2026
Il noto esperto di criptovalute ZachXBT ha risposto al post di Tim, spiegando che non si tratta solo di "Lazarus", ma di una rete di unità nordcoreane (Lazarus, APT38, AppleJeus, ecc.) coordinate dall'Ufficio Generale di Ricognizione e ottimizzate per i crimini informatici finanziari. I loro metodi si basano su un'attività di sensibilizzazione "semplice e incessante" tramite LinkedIn, siti di annunci di lavoro, colloqui, Zoom, oltre a ruoli di sviluppo da remoto che i team concedono ancora con troppa facilità.
Lazarus Group è il nome collettivo di tutti gli attori informatici sponsorizzati dallo stato della RPDC.
Il problema principale è che tutti tendono a raggrupparli insieme, quando in realtà la complessità delle minacce è diversa.
Le minacce tramite annunci di lavoro, LinkedIn, email, Zoom o colloqui sono basilari e in nessun modo… pic.twitter.com/NL8Jck5edN
— ZachXBT (@zachxbt) 5 aprile 2026
Le recenti sanzioni dell'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro statunitense e i risultati di Chainalysis indicano che le reti informatiche della RPDC hanno generato 800 milioni di dollari solo nel 2024 e hanno movimentato miliardi di dollari in criptovalute rubate dal 2017, alimentando programmi di armi di distruzione di massa (ADM) e missilistici.
Nuove informazioni sull'attacco crittografico al protocollo Drift.
L'attacco da 285 milioni di dollari subito da Drift Protocol il 1° aprile ha riacceso i timori di minacce interne provenienti dalla Corea del Nord, soprattutto dopo che lo stesso protocollo ha confermato sabato che le speculazioni che collegavano l'attacco a gruppi di hacker nordcoreani erano fondate.
— Drift (@DriftProtocol) 5 aprile 2026
Hanno attribuito l'attacco "con un grado di certezza medio" a UNC4736, un gruppo di hacker allineato con la Corea del Nord e sponsorizzato dallo stato.
Il protocollo affermava che gli aggressori si erano affidati a una strategia di ingegneria sociale ben elaborata: false identità professionali, interazioni di persona durante conferenze e strumenti di sviluppo pieni di trappole per compromettere i collaboratori prima di eseguire l'exploit. Gli aggressori si sono spacciati per una legittima società di trading, hanno incontrato di persona i collaboratori di Drift in diversi paesi e hanno utilizzato identità completamente create con storie lavorative e reti professionali prima di attivare l'exploit.
Gli aggressori hanno sfruttato strumenti di sviluppo comuni inserendo attività dannose nelle configurazioni di VS Code e Cursor, distribuendo un repository compromesso che i collaboratori hanno eseguito localmente senza rendersene conto. Tutti questi elementi, combinati insieme, rendono l'incidente molto più simile a una violazione della catena di approvvigionamento da parte di un insider che a una semplice violazione di uno smart contract.
Il giorno dopo l'attacco, il CTO di Ledger, Charles Guillement, ha collegato il metodo di attacco all'hacking da 1,4 miliardi di dollari subito da Bybit , attribuito alle unità informatiche del regime. Venerdì, la società di analisi blockchain Elliptic ha pubblicato un'indagine in cui afferma che il comportamento on-chain, i metodi di riciclaggio e gli indicatori a livello di rete corrispondono alle tecniche osservate in precedenti operazioni legate alla RPDC. Bitcoinist ha trattato la notizia.
Implicazioni di mercato
Questa vicenda di pirateria informatica si è trasformata in un rischio strutturale per la sicurezza nazionale. Gli organi di regolamentazione e le autorità sanzionatorie stanno già intensificando i controlli sulle reti informatiche della RPDC, ed è probabile che seguiranno misure di contrasto più rigorose.
Le grandi violazioni di diritti umani legate allo Stato creano un rischio latente per il protocollo: premi assicurativi più elevati, potenziali delisting, conflitti interni alla governance in merito alla restituzione e periodi di rischio più lunghi per i token DeFi e i volumi di transazioni illecite.
Immagine di copertina da Perplexity. Grafico BTCUSDT da Tradingview.