Netcrook Logo
👤 DEEPAUDIT
🗓️ 21 Nov 2025   🌍 Asia

La Nuova Trappola Cibernetica della Corea del Nord: Come WhatsApp Web è Diventato un Varco per lo Spionaggio nel Manifatturiero

L’ultima campagna di Operation DreamJob trasforma app di messaggistica e offerte di lavoro fasulle in armi per infiltrarsi nel cuore delle reti manifatturiere globali.

In Breve

  • Hacker nordcoreani hanno usato WhatsApp Web per colpire ingegneri del settore manifatturiero con false offerte di lavoro.
  • La catena d’attacco prevedeva un PDF trappola e malware avanzato, garantendo un accesso profondo alla rete.
  • Gli aggressori hanno sfruttato software legittimi, caricando codice malevolo per aggirare la sicurezza.
  • Ricognizione e movimento laterale sono stati ottenuti tramite siti WordPress compromessi e credenziali rubate.
  • La campagna è attribuita a UNC2970, un gruppo legato alle operazioni cibernetiche statali nordcoreane.

Dentro il Nuovo Manuale dello Spionaggio Cibernetico

Immaginate un lupo digitale travestito da agnello: un’offerta di lavoro che arriva non via email, ma tramite WhatsApp, promettendo una posizione allettante a un ingegnere ignaro. Questa è l’ultima evoluzione di Operation DreamJob della Corea del Nord - una campagna che si è trasformata dalle classiche email di phishing ad attacchi occulti tramite app di messaggistica, prendendo di mira le arterie vitali del settore manifatturiero.

Nell’agosto 2025, esperti di sicurezza di Orange Cyberdefense hanno scoperto una sofisticata violazione presso una filiale asiatica di un grande produttore europeo. Gli aggressori si sono finti recruiter, inviando un messaggio WhatsApp con un’offerta per il ruolo di “Project Manager”. Il messaggio conteneva un file ZIP con un PDF apparentemente innocuo e un’applicazione legittima (SumatraPDF.exe), ma nascosto all’interno c’era un componente trojanizzato (libmupdf.dll) pronto ad aprire una backdoor nella rete aziendale.

Come si è Svolto l’Attacco: Trucchi Semplici, Conseguenze Complesse

La catena d’infezione era tanto semplice quanto insidiosa. Quando l’ingegnere apriva il PDF, il lettore PDF legittimo caricava silenziosamente la DLL malevola, offrendo agli hacker il primo punto d’appoggio. Ma era solo l’inizio. Una volta dentro, gli aggressori hanno condotto ore di attività manuale - esplorando le directory digitali dell’azienda, prendendo di mira account di backup e amministrativi, e spostandosi tra i server usando credenziali rubate, il tutto celando i propri comandi in siti WordPress compromessi.

Il malware usato in questa campagna segna un’evoluzione nell’arsenale di DreamJob. Il malware BURNBOOK aggiornato rileva quando viene eseguito all’interno di una rete aziendale, e la backdoor MISTPEN, iniettata in software reale, contatta silenziosamente gli aggressori tramite canali basati su SharePoint. Il payload finale, ReleasePvPluginx64.dll, è un ladro di informazioni: raccoglie e invia silenziosamente dati aziendali sensibili ai server nordcoreani.

Perché il Manifatturiero? E Perché WhatsApp?

Le aziende manifatturiere sono obiettivi privilegiati: progettano prodotti di alto valore, gestiscono catene di fornitura complesse e detengono proprietà intellettuale che è una miniera d’oro per gli stati-nazione. Sfruttando WhatsApp Web - una piattaforma generalmente considerata meno rischiosa rispetto all’email - gli aggressori hanno aggirato molte difese tradizionali. Questo riflette una tendenza più ampia: mentre le aziende rafforzano la sicurezza delle email, gli attaccanti si spostano verso canali meno protetti.

Le precedenti campagne DreamJob, risalenti al 2016, hanno sfruttato LinkedIn e l’email. Ma il passaggio a WhatsApp mostra un avversario adattivo, sempre alla ricerca della via di minor resistenza. Rapporti di Mandiant e della CISA statunitense hanno documentato tattiche di ingegneria sociale simili, evidenziando il persistente interesse nordcoreano per industrie di valore strategico.

Difendere la Fabbrica Digitale

Per i difensori, la lezione è chiara: la vigilanza deve andare oltre la casella di posta. Bloccare l’uso rischioso di app di messaggistica sui dispositivi aziendali, monitorare comportamenti anomali del software (come lettori PDF avviati da percorsi insoliti) ed educare il personale sulle moderne tattiche di ingegneria sociale sono ora essenziali. Man mano che gli attaccanti affinano i propri metodi, anche la sicurezza deve evolvere - perché nella nuova era dello spionaggio cibernetico, anche un’offerta di lavoro può essere un cavallo di Troia.

L’ultimo colpo di Operation DreamJob è un segnale d’allarme: i confini della difesa informatica si sono spostati. In un mondo dove la fiducia è facilmente sfruttata e ogni canale di comunicazione è terreno di caccia, il prezzo della compiacenza è in costante aumento.

WIKICROOK

  • DLL Sideloading: Il DLL sideloading si verifica quando gli aggressori ingannano programmi affidabili inducendoli a caricare file helper (DLL) malevoli invece di quelli legittimi, permettendo attacchi nascosti.
  • Ingegneria Sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o concedere accesso non autorizzato ai sistemi.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi malevoli.
  • Pass: Il Pass-the-Hash è un attacco informatico in cui gli aggressori usano hash di password rubati per accedere ai sistemi, aggirando la necessità della password reale.
  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, bypassando i normali controlli di sicurezza, spesso usato dagli aggressori per ottenere il controllo segreto.
North Korea Cyber Espionage WhatsApp
DEEPAUDIT DEEPAUDIT
Multi-Layer Security Assessor
← Back to news