Netcrook Logo
👤 CRYSTALPROXY
🗓️ 08 Apr 2026   🌍 Asia

Fantasmi nella sala d’attesa: hacker nordcoreani ospitano finte chiamate Zoom e Teams per violare le difese crypto

I cybercriminali si spacciano per contatti fidati e trasformano le riunioni via browser in armi per dirottare in silenzio asset digitali e strumenti per sviluppatori.

Tutto inizia con un ping amichevole su LinkedIn o un messaggio informale su Slack. Forse è un volto familiare - o almeno qualcuno che gli somiglia. Ti invitano a una call di lavoro su una nuova partnership o un progetto open-source. Il link della riunione sembra abbastanza normale, magari persino fissato settimane prima. Ma quando entri, non stai solo collegandoti a una videochat: stai mettendo piede in una trappola meticolosamente preparata da una delle più pericolose organizzazioni di cybercriminalità al mondo.

L’anatomia di un colpo via browser

The Security Alliance (SEAL) ha scoperto una nuova e inquietante evoluzione del cybercrimine: hacker nordcoreani, operanti sotto la sigla UNC1069 (nota anche come BlueNoroff), hanno abbandonato le goffe email di phishing e orchestrano invece imboscate basate sul browser. I loro bersagli? Aziende di criptovalute e sviluppatori open-source, i cui asset digitali sono al tempo stesso redditizi e a portata di clic.

L’indagine di SEAL rivela un copione sofisticato. Gli hacker prima individuano le vittime su piattaforme come Telegram, LinkedIn e Slack, spesso dirottando account reali per inserirsi senza attriti in conversazioni già in corso. Leggendo i messaggi precedenti, possono imitare contatti fidati, facendo apparire le loro richieste come routine.

A differenza degli attacchi tradizionali che puntano su prompt urgenti di download, questi attori giocano sul lungo periodo. Programmano “riunioni di lavoro” usando strumenti come Calendly, talvolta con settimane di anticipo. Questa pazienza calcolata attenua i sospetti e abbassa le difese. Quando finalmente arriva il momento della riunione, alla vittima viene chiesto - con nonchalance - di scaricare un minuscolo script o eseguire un comando nel terminale. A sua insaputa, questa semplice azione attiva un download nascosto da un dominio malevolo, scatenando malware progettato per raccogliere di tutto: dalle password salvate nel browser ai file dei wallet di criptovalute.

SEAL riferisce che, una volta installato, il malware può registrare i tasti premuti, rubare password di servizi cloud e persino sostituire estensioni del browser sicure con cloni malevoli. Gli attaccanti sottraggono anche token di sessione per app di messaggistica come Telegram, potendo così dirottare altri account ed ampliare la loro portata. In una recente violazione, hanno usato credenziali rubate per compromettere “axios” - un pacchetto open-source ampiamente utilizzato - minacciando le catene di fornitura del software in tutto il mondo.

L’infrastruttura del gruppo è vasta. SEAL ha bloccato 164 domini - incluse imitazioni come “micrusoft[.]us” e “teamsync[.]live” - ospitati da provider popolari, rendendoli difficili da filtrare in modo proattivo. I loro strumenti funzionano su macOS, Windows e Linux, mostrando un livello di competenza tecnica che sfuma il confine tra spionaggio sponsorizzato dallo Stato e cybercriminalità ad alto rischio.

Una nuova era del social engineering

Questa campagna segnala un cambiamento pericoloso: le esche basate su riunioni via browser sono ormai una minaccia di prima linea. Non più soddisfatti del phishing grossolano, gruppi come UNC1069 si fondono nel tessuto delle operazioni aziendali, sfruttando sia la tecnologia sia la fiducia. Man mano che software open-source e criptovalute si intrecciano sempre di più con il commercio quotidiano, le conseguenze di queste violazioni diventano via via più gravi. Per ora, vigilanza, scetticismo e misure di protezione tecniche restano la migliore difesa contro questi fantasmi digitali in agguato nei nostri calendari.

WIKICROOK

  • Social Engineering: il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Token di sessione: un token di sessione è un codice digitale univoco che mantiene gli utenti connessi a siti web o app. Se rubato, gli attaccanti possono accedere agli account senza password.
  • File di script: un file di script contiene comandi per automatizzare attività o eseguire programmi, spesso usato nell’amministrazione di sistema o, se abusato, per cyberattacchi.
  • Attacco alla supply chain: un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware considerati affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Estensione del browser: un’estensione del browser è un piccolo componente aggiuntivo che migliora le funzionalità del browser, ma può anche essere sfruttato dagli hacker per rubare dati o spiare gli utenti.
North Korean Hackers Cybercrime Cryptocurrency
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news