Netcrook Logo
👤 AGONY
🗓️ 19 Jan 2026   🌍 Asia

Clickbait da Pyongyang: come gli hacker nordcoreani hanno dirottato gli annunci di Naver e Google per il cybercrimine globale

I cybercriminali nordcoreani hanno trasformato reti pubblicitarie affidabili in armi per distribuire malware e rubare miliardi in criptovalute, rivelando la cupa evoluzione dell’hacking sponsorizzato dallo Stato.

Tutto inizia con un clic - su un banner, un risultato sponsorizzato, un link apparentemente innocuo. Ma dietro il sipario digitale, gli hacker nordcoreani hanno trasformato le più grandi piattaforme pubblicitarie del mondo in rampe di lancio per sofisticati attacchi informatici. La recente infiltrazione dei sistemi pubblicitari di Naver e Google segna una escalation inquietante: gli stessi strumenti pensati per mettere in contatto aziende e clienti sono ora canali per campagne globali di malware e colpi da miliardi di dollari.

Dietro il clic: le reti pubblicitarie trasformate in vettori d’attacco

L’ultima campagna attribuita a Konni, un gruppo cybercriminale con legami con altre famigerate unità di hacking nordcoreane come Kimsuky, ha sfruttato la spina dorsale della pubblicità online: il tracciamento dei clic. Normalmente, quando fai clic su un annuncio, vieni instradato per un istante attraverso server di tracciamento prima di raggiungere il sito dell’inserzionista - un processo pensato per misurare l’interazione e addebitare gli inserzionisti. Ma Konni ha preso questo meccanismo legittimo e lo ha trasformato in un’arma.

Inserendo link intermediari contraffatti nella catena del clic pubblicitario, gli aggressori hanno reindirizzato utenti ignari verso server esterni carichi di malware. Questi link apparivano legittimi, integrandosi senza attriti nell’ecosistema pubblicitario di Naver (il principale portale della Corea del Sud) e, più recentemente, nella vasta rete pubblicitaria di Google. All’interno del codice del malware, i ricercatori hanno trovato riferimenti a “Poseidon-Attack”, a suggerire una campagna coordinata e persistente sotto un nome operativo dedicato.

Cybercrimine strategico: finanziare uno Stato canaglia

Le motivazioni dietro questi attacchi sono tanto strategiche quanto criminali. Esperti delle Nazioni Unite stimano che, tra il 2017 e il 2023, gli hacker nordcoreani abbiano sottratto 3 miliardi di dollari in asset virtuali attraverso 58 attacchi principali contro piattaforme crypto. Nel solo 2025, si ritiene che gruppi collegati a Pyongyang abbiano incassato 2 miliardi di dollari, rappresentando la parte del leone dei furti globali di criptovalute. Questi guadagni illeciti non si limitano a riempire le casse del regime - stanno anche alimentando le ambizioni nucleari del Paese, soggette a sanzioni.

L’abbraccio della Corea del Nord al cybercrimine non è un caso. Dalla metà degli anni ’90, il regime ha investito nell’addestramento di hacker d’élite, istituendo programmi universitari e potenziando le infrastrutture di telecomunicazione per costruire un esercito informatico. Le loro tattiche sono diventate più sofisticate, arrivando a sfruttare le stesse piattaforme che sostengono l’economia digitale per lanciare attacchi difficili da individuare e ancora più difficili da fermare.

Restare al sicuro in un web militarizzato

Gli esperti avvertono gli utenti di evitare l’apertura di allegati sospetti, in particolare file di collegamento mascherati da download legittimi provenienti dagli annunci. Man mano che le reti pubblicitarie diventano il nuovo campo di battaglia per gli hacker sponsorizzati dallo Stato, la vigilanza è essenziale - non solo per i singoli, ma anche per i giganti tecnologici le cui piattaforme vengono rivolte contro i loro stessi utenti.

Conclusione: quando la fiducia diventa un cavallo di Troia

Lo sfruttamento nordcoreano dei sistemi pubblicitari di Naver e Google è più di un hack tecnico - è un campanello d’allarme. Mentre i confini tra commercio e crimine si fanno sempre più sfumati, ogni clic è un potenziale punto d’ingresso per i cybercriminali più ambiziosi del mondo. La domanda non è più se le reti pubblicitarie possano essere abusate, ma quanto rapidamente le difese possano adattarsi a una minaccia che si nasconde in piena vista.

WIKICROOK

  • APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da uno Stato, con l’obiettivo di rubare dati o interrompere le operazioni.
  • Click Tracking: Il click tracking monitora e analizza i clic degli utenti su annunci o link per misurare le prestazioni delle campagne, ottimizzare l’engagement e rilevare attività sospette o fraudolente.
  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • Cryptocurrency: La criptovaluta è una valuta digitale protetta dalla crittografia, che consente transazioni sicure e decentralizzate ed è spesso utilizzata sia per attività lecite sia illecite.
  • Ad Network: Una rete pubblicitaria mette in contatto inserzionisti ed editori per mostrare annunci. In ambito cybersecurity, può essere abusata per diffondere annunci malevoli o malware.
North Korea Cybercrime Malware
AGONY AGONY
Elite Offensive Security Commander
← Back to news