Keyboard Warriors a Noleggio: La Laptop Farm Nordcoreana che ha Infiltrato l’America Aziendale

In una strada qualunque del New Jersey, centinaia di laptop ronzavano in silenzio - ognuno un portale attraverso cui operatori nordcoreani potevano insinuarsi nel cuore del business americano. Dietro questa mascherata digitale c’erano Kejia Wang e Zhenxing Wang, che ora affrontano lunghe pene detentive per il loro ruolo in un piano che ha permesso a lavoratori IT nordcoreani di spacciarsi per dipendenti statunitensi e sottrarre dati sensibili a società della classifica Fortune 500.

Dal 2021 al 2024, i Wang hanno gestito un’operazione sofisticata che combinava la truffa vecchia scuola con moderne tattiche cyber. Il piano iniziava con identità rubate - circa 80 cittadini statunitensi si sono visti sottrarre i dati personali, poi consegnati a specialisti IT nordcoreani. Questi operatori, camuffati da americani, hanno ottenuto impieghi presso più di 100 aziende statunitensi, incluso un importante appaltatore della difesa impegnato nello sviluppo di tecnologia di intelligenza artificiale.

Il fulcro dell’operazione erano le cosiddette “laptop farm”. Centinaia di laptop, gestiti e ospitati in case di periferia, venivano collegati a switch keyboard-video-mouse (KVM), consentendo ai lavoratori nordcoreani di controllarli da remoto dall’estero. Questa configurazione ingannava persino i controlli di onboarding più robusti, offrendo ai nordcoreani accesso diretto alle reti aziendali e a proprietà intellettuale sensibile.

Kejia Wang, il presunto capo, si recava nelle città di confine della Cina per coordinarsi con contatti nordcoreani, mentre Zhenxing Wang e una manciata di complici basati negli Stati Uniti ricevevano e ospitavano i laptop. Hanno inoltre creato una rete di società di comodo e conti bancari statunitensi per riciclare milioni di pagamenti illeciti verso la Corea del Nord. Per i loro servizi, i Wang hanno incassato 600.000 dollari - ora oggetto di confisca su ordine del tribunale.

L’impatto è stato pesante: le aziende statunitensi hanno perso milioni in spese legali e costi di bonifica. Dati sensibili, inclusi codice sorgente e ricerche sull’IA, sono stati esfiltrati - una parte dei quali soggetti a rigide normative sugli armamenti. Da allora il Dipartimento di Giustizia e l’FBI hanno smantellato decine di siti web collegati al piano e stanno dando la caccia ad altri sospetti, molti dei quali si ritiene siano ancora in Corea del Nord o in Cina.

Questo caso rientra in un quadro più ampio e continuo. Negli ultimi mesi, diversi americani - tra cui un militare dell’Esercito in servizio attivo - sono stati condannati per aver facilitato schemi legati a lavoratori IT nordcoreani. Gli investigatori avvertono che operazioni del genere non solo arricchiscono un regime sanzionato, ma minacciano anche la sicurezza nazionale aprendo la porta a spionaggio e attacchi informatici.

La condanna di Kejia e Zhenxing Wang invia un messaggio chiaro a chiunque pensi di fare da facilitatore: il prezzo per aiutare avversari stranieri a infiltrarsi nella tecnologia americana è alto. Ma finché i confini digitali resteranno porosi e i profitti allettanti, il sottobosco digitale continuerà a cercare nuovi modi per entrare.

TECHCROOK

Per ridurre il rischio di “laptop farm” e accessi remoti non autorizzati come quelli descritti, una misura concreta è introdurre autenticazione forte e controllo degli endpoint. YubiKey 5 NFC è una chiave di sicurezza hardware (FIDO2/WebAuthn e U2F) che abilita MFA resistente al phishing per login aziendali, VPN e servizi cloud, limitando l’uso di credenziali rubate e rendendo più difficile impersonare un dipendente. Supporta anche OTP e smart card (PIV) per scenari enterprise, funziona via USB-A e NFC e non richiede batterie. In contesti di onboarding e lavoro remoto, aiuta a legare l’accesso a un dispositivo fisico verificabile, aumentando tracciabilità e controllo. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

YubiKey 5 NFC è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Laptop farm: Una laptop farm è una raccolta di laptop gestiti da remoto da un’unica postazione, spesso usata per simulare la presenza di dipendenti o condurre attività coordinate.
• Switch KVM: Uno switch KVM consente di controllare più computer con un’unica tastiera, monitor e mouse, migliorando sicurezza ed efficienza negli ambienti IT.
• Società di comodo: Una società di comodo è un’entità aziendale senza reali operazioni o asset, spesso usata per nascondere flussi di denaro o oscurare i veri proprietari di beni.
• Furto d’identità: Il furto d’identità è un reato in cui qualcuno utilizza i dati personali di un’altra persona senza consenso, spesso per commettere frodi o sottrazioni finanziarie.
• ITAR (International Traffic in Arms Regulations): L’ITAR disciplina l’esportazione e la gestione della tecnologia statunitense legata alla difesa, imponendo controlli rigorosi per proteggere dati e informazioni militari sensibili.