La società di criptovaluta Paradigm avverte, in un rapporto intitolato "Demystifying the North Korea Threat", che gli attacchi di guerra informatica nordcoreani al settore delle criptovalute stanno diventando sempre più sofisticati e che il numero di gruppi coinvolti in tali attività criminali è in aumento.
Nel corso degli anni, la Corea del Nord è stata coinvolta in attacchi informatici di alto profilo agli scambi di criptovalute, con il denaro rubato ritenuto utilizzato per finanziare i programmi militari e nucleari del paese.
Le Nazioni Unite stimano che la Corea del Nord abbia rubato circa 3 miliardi di dollari in attacchi informatici tra il 2017 e il 2023. Tuttavia, solo nel 2024 e nel 2025, ha già saccheggiato la cifra record di 1,7 miliardi di dollari da due dei più grandi scambi, WazirX e Bybit.
Gli hacker utilizzano offerte di lavoro false per rubare criptovalute, mettendo a rischio milioni di utenti
Esistono diverse fazioni di hacker nordcoreani, ciascuna specializzata in diversi tipi di attacchi informatici. Il più famigerato è il Lazarus Group, che ha una storia di attacchi alle istituzioni finanziarie e agli scambi di risorse digitali.
Altri gruppi, come AppleJeus , Dangerous Password e Spinout, utilizzano metodi diversi (ad esempio attacchi di phishing, offerte di lavoro false, malware mascherato da software autentico).
L'attacco più scioccante fino ad oggi ha avuto luogo nel febbraio 2025, quando l'exchange di criptovalute Bybit è stato violato per 1,5 miliardi di dollari: il più grande attacco di criptovaluta mai realizzato fino ad oggi. Inizialmente si pensava si trattasse di un tentativo di phishing, ma da un'indagine approfondita è emerso che l'exploit si basava su una strategia molto più avanzata.
Gli hacker, del Reconnaissance General Bureau della Corea del Nord, avevano compromesso furtivamente Safe{Wallet}, un sistema di portafoglio digitale utilizzato da molti utenti Bybit, invece di lanciare un attacco direttamente contro l'exchange. Si sono infiltrati nel software attraverso una backdoor e hanno potuto sottrarre denaro senza essere immediatamente notati.
Questo metodo era molto più sofisticato. Invece di prendere di mira gli scambi, ha preso di mira l’infrastruttura che supporta gli scambi di criptovalute.
Una volta rubata la criptovaluta, gli hacker la riciclano ed eludono il rilevamento utilizzando tecniche standardizzate e consolidate. Innanzitutto dividono il bottino in quantità minori, le passano attraverso centinaia di portafogli digitali e alla fine le trasformano in Bitcoin (BTC).
Questa tattica rende più difficile per le autorità rintracciare il denaro. Secondo la società di sicurezza Chainalysis, Lazarus Group tende a trattenere il denaro rubato per mesi, anni e anche prima di spenderlo, massimizzando le possibilità di evitare di essere scoperto.
L' FBI ha identificato tre presunti membri del Gruppo Lazarus e li ha accusati di crimini informatici. Nel febbraio 2021, il Dipartimento di Giustizia degli Stati Uniti ha incriminato due di questi membri per coinvolgimento in crimini informatici globali. Eppure, nonostante tali sforzi, gli hacker e i criminali informatici nordcoreani hanno continuato ad adattarsi e a trovare nuovi metodi per interferire con i sistemi finanziari.
Cryptopolitan Academy: stanco delle oscillazioni del mercato? Scopri come la DeFi può aiutarti a creare un reddito passivo costante. Registrati ora