Una gigantesca truffa organizzata da Pyongyang colpisce GitHub, Upwork e Freelancer

Gli hacker nordcoreani hanno già sottratto milioni in bitcoin ed ether, classificandosi tra i peggiori incubi della comunità crypto. Temuti, braccati, maledetti, riescono comunque a sfuggire a ogni rete. Infatti, recentemente non si limitano più a rubare: reclutano, organizzano, infiltrano e strutturano. GitHub, Upwork, Freelancer… tutte le piattaforme sono diventate territori di caccia. E ciò a cui ora mirano non è più solo un jackpot, ma l’intera struttura dell’economia decentralizzata.

Quando i recruiter AI e i profili falsi infestano le piattaforme tech

Nel 2024, Pyongyang, che conta più di 60 sviluppatori sulle piattaforme crypto, ha compiuto un nuovo passo nella sua guerra digitale. Gli hacker del regime non si limitano più a candidarsi alle offerte: le creano. Su Upwork, Freelancer o GitHub, pubblicano annunci pensati per attirare sviluppatori specializzati in crypto. Dietro queste offerte apparentemente ordinarie si nasconde un piano ben oliato: il candidato viene invitato a scaricare un progetto ospitato su GitHub, che dovrebbe servire come test tecnico. Il codice contiene malware, spesso del tipo BeaverTail.

Modus operandi degli hacker nordcoreani – Fonte: Security Alliance

Per rendere queste trappole indetectabili, gli agenti nordcoreani utilizzano l’AI per generare volti, falsificare voci e produrre documenti ufficiali estremamente credibili. Usano strumenti sofisticati per migliorare i file d’identità, alterare foto e modificare voci per ingannare i sistemi di verifica. 

Nulla è lasciato al caso: l’aspetto, il suono, i dettagli amministrativi sono ottimizzati per superare i controlli senza destare il minimo sospetto.

Richiedere un’intervista video dal vivo e interattiva durante il processo di selezione, per assicurarsi che l’aspetto del candidato corrisponda alla foto del profilo e ai documenti inviati (spesso rubati o generati dall’AI).

Heiner García Pérez, membro di SEAL Intel

Questi profili falsi diventano veri e propri cavalli di Troia. Il sistema KYC delle piattaforme non è più una barriera, ma uno strumento di camuffamento. È una guerra di apparenze in cui il regime nordcoreano conduce la danza.

Ingegneria sociale e sfruttamento umano: recruiter con un sorriso digitale

L’astuzia nordcoreana non si ferma agli strumenti. Si basa sulle debolezze umane. Gli agenti di Pyongyang prendono di mira persone vulnerabili: freelancer isolati, ucraini in crisi, donne in cerca di indipendenza economica. Su forum come InterPals o AbleHere, gli approcci iniziano sempre con delicatezza: uno scambio amichevole, la promessa di un guadagno, un test rapido.

Poi arriva la spirale: documenti d’identità, software come AnyDesk, presa di controllo dell’account freelance. I “reclutati” diventano prestanome. E la ripartizione è chiara: 20% a loro, 80% all’operatore.

Esempio di messaggi visti su Interpals – Fonte: Security Alliance

Un documento interno trovato nei file di un hacker indica un’organizzazione quasi militare: script di contatto, procedure di onboarding, PowerPoint esplicativi. La frode diventa un business di subappalto digitale.

La comunità crypto, che si basa sulla decentralizzazione, è la preda perfetta. I wallet digitali sono accessibili, i freelancer crypto sono numerosi, le identità circolano.

Dietro questo sistema, una verità agghiacciante: Pyongyang sfrutta individui per ingannarne altri. E tutto questo sotto una maschera amichevole, benevola, quasi coinvolgente.

Reti opache, crypto e AI: il business plan di Pyongyang

Quello che la Corea del Nord ha messo in piedi equivale a un piano industriale. I pagamenti passano attraverso piattaforme freelance verso conti bancari o wallet crypto detenuti da “proxy”. Poi, i fondi vengono rimpatriati sotto forma di crypto-asset a Pyongyang o ai suoi complici.

L’AI gioca ancora un ruolo qui: profili generati, storici di attività simulati, finte chiamate Zoom per validare le identità. I recruiter a volte chiedono ai loro collaboratori di coinvolgere la propria cerchia, formando una rete piramidale difficile da tracciare.

La sfera crypto diventa il canale ideale per questi flussi invisibili: nessuna banca, nessun regolatore, nessuna dogana.

Riepilogo visivo dei fatti chiave:

• Oltre 300 sviluppatori presi di mira dal 2024;
• Pagamento redistribuito secondo una regola: 80% operatore / 20% proxy;
• Piattaforme infiltrate: Upwork, Freelancer, GitHub…;
• Uso massiccio dell’AI per il furto d’identità; 
• Malware diffusi: BeaverTail, InvisibleFerret.

Questo modello funziona perché mescola tecnologia e manipolazione psicologica, con un’efficacia formidabile. Le piattaforme, spesso sopraffatte, faticano a bloccare questi account, che riappaiono con altri nomi, altri volti.

Gli hacker nordcoreani hanno dissanguato l’universo crypto nel 2024. Con 1.3 billions di dollari sottratti, hanno firmato un anno da record. La loro strategia si evolve. Anche il loro potere. Fino a dove si spingeranno?