Netcrook Logo
👤 WHITEHAWK
🗓️ 04 Dec 2025   🌍 Asia

Catfishing i Catfisher: Come uno Sviluppatore Falso ha Sconfitto gli Hacker Lazarus della Corea del Nord

Una coraggiosa operazione sotto copertura ha ribaltato la situazione contro i famigerati cyber-spie Lazarus della Corea del Nord, smascherando il loro ultimo schema di furto d’identità mirato ai lavori da remoto a livello globale.

In Breve

  • Gli investigatori hanno creato un finto sviluppatore IT americano per infiltrarsi nel gruppo cybercriminale Lazarus della Corea del Nord.
  • Lazarus prende di mira il mercato dei lavori da remoto per inserire operatori nordcoreani in aziende globali usando identità rubate.
  • Invece di malware, Lazarus si concentra sul furto di credenziali di accesso e sull’ottenimento di accessi remoti a lungo termine.
  • L’operazione ha rivelato un uso sofisticato di macchine virtuali e strumenti di colloquio alimentati da intelligenza artificiale.
  • Le pratiche di assunzione da remoto vengono sfruttate per spionaggio aziendale e furto finanziario.

L’Operazione: Ribaltare la Situazione contro Lazarus

Immaginate una scacchiera virtuale: da un lato, il Lazarus Group della Corea del Nord, famoso per furti informatici e spionaggio digitale; dall’altro, una coalizione di investigatori informatici, intenti a pianificare una contromossa che nessuno si aspettava. Non si tratta di una scena da thriller di spionaggio, ma di un’operazione reale guidata da Mauro Eldritch di BCA LTD, in collaborazione con NorthScan e la piattaforma di analisi malware ANY.RUN.

Il piano era audace: creare un finto sviluppatore software americano - con tanto di tracce digitali, profili social e una storia lavorativa credibile. Lo specialista di cybersecurity Heiner Garcia, fingendosi un recruiter, ha offerto questo candidato fittizio agli operatori Lazarus. L’esca è stata presa. All’insaputa degli hacker, ogni battitura e comando veniva registrato, ogni mossa osservata.

Anatomia di un Attacco dall’Interno

Lo schema di Lazarus è sorprendentemente semplice ma efficace. Impadronendosi di identità reali, inseriscono lavoratori IT nordcoreani in posizioni da remoto presso aziende finanziarie, sanitarie e ingegneristiche in tutto il mondo. Il processo inizia con una candidatura convincente - spesso supportata da strumenti AI come Simplify Copilot o AiApply - e prosegue rapidamente con richieste di dati sensibili: numeri di previdenza sociale, scansioni di documenti e accesso ai sistemi aziendali. Una volta dentro, gli hacker operano tramite strumenti di desktop remoto, facendo confluire stipendi e dati direttamente a Pyongyang.

Ciò che rende questo attacco particolarmente subdolo è la sua dipendenza non da malware sofisticati, ma dalla fiducia e dalla routine. Lazarus utilizza generatori di codice basati su browser per l’autenticazione a due fattori, VPN come Astrill per mascherare il traffico, e connessioni remote persistenti configurate tramite PowerShell. L’intera operazione si svolge su quelli che sembrano normali laptop americani - ma in questa operazione sotto copertura, il “laptop” era un’esca virtuale, predisposta per la sorveglianza.

Implicazioni Più Ampie: Quando il Lavoro da Casa Diventa una Prima Linea

Non è la prima volta che Lazarus si cimenta con inganni ad alto rischio. Il gruppo ha già preso di mira banche, exchange di criptovalute e persino sistemi sanitari, lasciando spesso dietro di sé milioni di perdite e segreti compromessi. Ma questa nuova attenzione alle piattaforme di lavoro da remoto segna un cambiamento: il luogo di lavoro digitale è diventato il nuovo campo di battaglia per spionaggio e furto.

Rapporti dell’FBI e di aziende di cybersecurity confermano un aumento di operatori nordcoreani che cercano lavori IT da remoto sotto false identità, con l’obiettivo di aggirare le sanzioni e finanziare il regime. Il mercato delle identità digitali rubate - profili LinkedIn, curriculum e credenziali - non è mai stato così florido.

La lezione? Ogni candidatura online è ora un potenziale cavallo di Troia. Le aziende devono rafforzare le procedure di verifica, formare i team HR e IT, e trattare ogni richiesta di accesso con scetticismo. Nell’era del lavoro da remoto, il nemico potrebbe già essere dentro - se non si sta attenti.

L’operazione sotto copertura contro Lazarus è un campanello d’allarme: in un mondo dove la fiducia è digitalizzata e la distanza annullata, anche il più ordinario processo di assunzione può essere trasformato in un’arma. La vigilanza non è più opzionale - è questione di sopravvivenza.

WIKICROOK

  • Lazarus Group: Lazarus Group è un team di hacker sponsorizzato dallo stato nordcoreano, noto per attacchi informatici globali e furti di denaro per finanziare le attività del regime.
  • Macchina Virtuale: Una macchina virtuale è un computer basato su software che funziona all’interno di un altro computer, offrendo ambienti isolati per diversi sistemi operativi e compiti.
  • Desktop Remoto: Il desktop remoto consente agli utenti di accedere e controllare in modo sicuro un computer da un’altra posizione, comunemente usato per lavoro da remoto e supporto tecnico.
  • Due: L’autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi tipi di identificazione per accedere a un account, rendendo più difficile l’hacking.
  • Furto d’Identità: Il furto d’identità è un crimine in cui qualcuno utilizza i dati personali di un’altra persona senza consenso, spesso per commettere frodi o furti finanziari.
Lazarus Group identity theft remote work
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news