La Corea del Nord avrebbe arruolato liberi professionisti per utilizzare le loro identità al fine di ottenere ruoli IT, un cambiamento di strategia rispetto al loro metodo precedente di utilizzare identificazioni falsificate per ottenere ruoli remoti. Questa strategia ora include il contatto diretto con potenziali liberi professionisti su piattaforme di reclutamento come Upwork, Freelancer e GitHub, spostando la conversazione su Telegram o Discord. Lì, i liberi professionisti vengono assistiti nella configurazione degli strumenti di accesso remoto e nella verifica delle loro identità.
Identità Proxy nelle Operazioni IT
Heiner Garcia, un esperto di intelligence sulle minacce informatiche presso Telefonica e ricercatore sulla sicurezza blockchain, ha rivelato che gli operatori nordcoreani ora evitano gli ostacoli di verifica lavorando con utenti legittimi che offrono accesso remoto ai loro sistemi. Curiosamente, questi utenti ricevono solo il 20% degli introiti, il resto viene indirizzato agli operatori attraverso criptovalute o conti bancari regolari.
Sfruttando identità reali e connessioni internet locali, questi operatori IT stanno aggirando efficacemente meccanismi progettati per segnalare determinate geografie come ad alto rischio e per identificare l’uso di VPN. Questo aggiornamento nelle tattiche illustra un cambiamento significativo nel modo in cui operano gli operatori IT nordcoreani e mostra un’aumentata sofisticazione per evitare la rilevazione.
Ingannare i Liberi Professionisti in Attività Illegali
All’inizio di quest’anno, Garcia ha fondato una finta azienda di criptovalute e ha condotto un’intervista con un operatore nordcoreano apparentemente in cerca di un lavoro tecnico remoto. L’intervistato ha affermato di essere giapponese ma ha improvvisamente terminato la chiamata quando è stato chiesto di presentarsi in giapponese. Tutti questi esempi reali indicano il fatto che molte persone vengono ingannate nel fungere inconsapevolmente da proxy per gli operatori nordcoreani. Credono di essere impegnati in normali accordi di subappalto.
Vittime e Autori nella Truffa
I registri delle chat esaminati suggeriscono che questi proxy reclutati non sono per lo più tecnicamente competenti. Pongono domande aziendali di base, non eseguono alcun lavoro tecnico e lasciano che l’operatore lavori e consegni a loro nome. Mentre molti sembrano essere vittime ignare della situazione, alcuni mostrano piena conoscenza del loro coinvolgimento nello schema.
Matthew Isaac Knoot di Nashville è stato arrestato dal Dipartimento di Giustizia degli Stati Uniti nell’agosto 2024 per aver condotto una rete di laptop che consentiva agli operatori IT nordcoreani di lanciare le loro operazioni fingendo di essere dipendenti con sede negli Stati Uniti utilizzando identità rubate. In un caso identico, Christina Marie Chapman in Arizona è stata condannata a più di otto anni di reclusione per aver gestito un’operazione simile che ha canalizzato oltre 17 milioni di dollari verso la Corea del Nord.
Ottenere un Appiglio Aziendale
La Corea del Nord avrebbe cercato per anni di infiltrarsi nelle industrie tecnologiche e delle criptovalute per generare entrate e assicurarsi punti d’appoggio aziendali al di fuori dei suoi confini. Questa ultima strategia di utilizzare le identità dei liberi professionisti è solo un altro traguardo evidente in questo viaggio. Questi compiti IT e il furto di criptovalute, secondo le Nazioni Unite, forniscono finanziamenti per i programmi missilistici e di armamenti del paese.
Oltre le Criptovalute
Le ricerche di Garcia e i successivi rapporti suggeriscono che l’uso delle identità dei liberi professionisti non sia limitato al mondo delle criptovalute. Si estende a qualsiasi lavoro a cui questi operatori possono accedere, inclusi architettura, design, servizio clienti, ecc. La rilevazione di questi atti nefandi avviene di solito solo dopo che un comportamento insolito attiva meccanismi di rilevamento, per poi cambiare identità e continuare il ciclo.
Punti Chiave
Per quanto possa sembrare oneroso, questo scambio di identità complica l’attribuzione e la perseguibilità degli individui davvero responsabili. Le persone le cui identità vengono utilizzate sono spesso ingannate, mentre la persona reale dietro la tastiera opera da un altro paese e rimane invisibile alle piattaforme di lavoro freelance e ai clienti. La variabile chiave in tutte queste operazioni è la richiesta di installare software di accesso remoto o di permettere a qualcuno di lavorare dal tuo account verificato – un processo di assunzione legittimo non richiederebbe il controllo del tuo dispositivo o della tua identità.
