Professionisti crypto attirati nelle trappole informatiche nordcoreane: riunioni false, colpi reali

Tutto è iniziato con quella che sembrava un’opportunità d’oro: una società di venture capital che contatta per un incontro, una call di due diligence o una discussione su una partnership. Ma sotto la superficie levigata dei link di Zoom e Google Meet, era in corso un’implacabile operazione cyber nordcoreana, mirata al cuore stesso del mondo degli asset digitali. Il gruppo noto come UNC1069 ha tessuto un’intricata rete di inganni, usando riunioni false e malware sofisticato per sottrarre milioni a ignari professionisti delle criptovalute in tutto il mondo.

L’operazione è tanto audace quanto sofisticata. Fingendosi investitori di alto profilo su piattaforme come LinkedIn e Telegram, UNC1069 avvia conversazioni che evolvono senza soluzione di continuità in “call di lavoro” programmate. Usando strumenti come Calendly e persino account legittimi dirottati, gli attaccanti costruiscono fiducia prima di far scattare la trappola: un link a un portale di riunione che imita alla perfezione Zoom, Google Meet o Microsoft Teams.

Una volta dentro questi portali, l’attacco entra nel vivo. Alle vittime vengono segnalati problemi tecnici - aggiornamenti mancanti, glitch audio o SDK richiesti - e viene fatto pressione perché incollino comandi nel terminale del sistema o nella finestra di PowerShell, una tattica nota come “ClickFix”. Su Windows, questo innesca una cascata di script offuscati: il malware disabilita gli strumenti di sicurezza, ruba i dati del browser e stabilisce un controllo a lungo termine. Su macOS e Linux, tecniche simili distribuiscono RAT (trojan di accesso remoto) che aggirano le protezioni integrate, il tutto mascherandosi da aggiornamenti software legittimi.

Ma l’inganno non finisce con il malware. I portali falsi di UNC1069 fungono anche da hub di sorveglianza, catturando silenziosamente i flussi di microfono e videocamera tramite API standard del browser. Questo materiale rubato può essere riutilizzato in future manovre di ingegneria sociale, o persino in deepfake - rendendo la prossima ondata di attacchi ancora più difficile da individuare.

L’infrastruttura dietro queste truffe è vasta. Decine di domini controllati dagli attaccanti imitano sia le piattaforme di meeting sia le società di investimento, mentre le impronte tecniche collegano la campagna a note operazioni nordcoreane come Bluenoroff e CryptoCore. Google e altri ricercatori di sicurezza hanno ricondotto le attività del gruppo ad attacchi alla supply chain di alto profilo, inclusi malware mirati agli sviluppatori nascosti in popolari pacchetti npm.

Per il settore crypto e Web3, il messaggio è chiaro: approcci di investimento non richiesti e chiamate “urgenti” - anche se provenienti da nomi familiari - dovrebbero far scattare la massima cautela. Gli esperti raccomandano una rigorosa verifica delle controparti, il divieto per i dipendenti di eseguire comandi durante le call e un attento monitoraggio di attività di sistema sospette durante le sessioni di collaborazione.

Man mano che UNC1069 evolve, fondendo abilità tecniche e ingegneria sociale, la minaccia per l’ecosistema della finanza digitale diventa sempre più sofisticata. In un mondo in cui un solo clic può aprire la porta a perdite per milioni, vigilanza e scetticismo sono le nuove valute della sopravvivenza.

TECHCROOK

Per ridurre il rischio di infezioni da malware veicolate da finti meeting e tecniche “ClickFix”, una soluzione concreta è un antivirus con protezione comportamentale e anti-phishing come Bitdefender Total Security. Il pacchetto integra difesa in tempo reale contro script malevoli e download camuffati da aggiornamenti, controllo delle attività sospette (es. esecuzioni anomale di PowerShell), protezione web contro siti clonati e pagine di login fasulle, oltre a moduli anti-ransomware e monitoraggio delle credenziali. È adatto a scenari multi‑piattaforma tipici dei professionisti crypto (Windows, macOS) e aiuta a intercettare RAT e tentativi di persistenza prima che compromettano browser e wallet. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Ingegneria sociale: l’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
• RAT (Remote Access Trojan): un RAT (trojan di accesso remoto) è un malware che consente agli attaccanti di controllare segretamente da remoto il dispositivo di una vittima, accedendo a file e funzioni di sistema.
• Script offuscato: uno script offuscato è codice deliberatamente rimescolato o stratificato per renderne difficile l’interpretazione o il rilevamento da parte delle persone e degli strumenti di sicurezza.
• Deepfake: un deepfake è un contenuto multimediale generato dall’IA che imita l’aspetto o la voce di persone reali, spesso usato per ingannare creando video o audio falsi ma convincenti.
• Persistenza: la persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.