Gli hacker nordcoreani finanziati dallo Stato hanno infranto ogni record nel 2024, rubando 1,34 miliardi di dollari in criptovalute in soli 47 attacchi. Si tratta di più del doppio dei 660,5 milioni di dollari rubati in 20 incidenti dent 2023, secondo un nuovo rapporto .
Questi ladri digitali rappresentano il 61% di tutte le criptovalute rubate a livello globale quest'anno, consolidando la posizione di Pyongyang come principale attore nel crimine basato sulle criptovalute. Funzionari statunitensi e internazionali avvertono che questi fondi rubati finanziano i programmi missilistici e bellici della Corea del Nord, aggirando le sanzioni e mettendo a repentaglio la sicurezza globale.
L'intervallo tra un attacco informatico e l'altro si è ridottomatic, soprattutto per i colpi di valore elevato, pari o superiore a 50 milioni di dollari. Gli agenti informatici di Pyongyang hanno cambiato strategia, concentrandosi maggiormente su rapine su larga scala, pur mantenendo un flusso costante di operazioni più piccole, intorno ai 10.000 dollari.
Furto di criptovalute tramite infiltrazione interna
Le tattiche impiegate da questi hacker sono un capolavoro di inganno. Sempre più spesso, i dipendenti IT nordcoreani si insinuano nelle aziende legittime, sfruttando le opportunità di lavoro da remoto per infiltrarsi nelle reti. Si spacciano per professionisti altamente qualificati, utilizzando falsedente intermediari loschi per ottenere lavoro.
Una volta all'interno, saccheggiano informazioni riservate e rubano persino direttamente dai conti aziendali. Il Dipartimento di Giustizia degli Stati Uniti ha recentemente incriminato 14 nordcoreani che hanno messo in atto questo stesso schema, rubando 88 milioni di dollari fingendosi dipendenti di aziende statunitensi.
Il quadro generale è ancora più fosco. I criminali informatici di Pyongyang non prendono di mira solo le aziende, ma l'infrastruttura stessa del mondo delle criptovalute. In uno degli attacchi informatici più audaci dell'anno, hanno colpito l'exchange giapponese DMM Bitcoin, rubando 4.502,9 Bitcoin, per un valore di 305 milioni di dollari all'epoca.
Sfruttando le debolezze dell'infrastruttura dell'exchange, hanno incanalato i beni rubati attraverso mixer e ponti cross-chain, rendendoli quasi impossibili da trac. Le conseguenze hanno costretto DMM Bitcoin a chiudere, trasferendo le sue operazioni a un altro exchange di un importante conglomerato finanziario.
Questo tipo di attacco non è raro. Gli hacker nordcoreani utilizzano malware avanzati, tecniche di phishing e ingegneria sociale per accedere ai sistemi.
Hanno letteralmente perfezionato l'arte di spostare fondi rubati attraverso complesse catene di riciclaggio, spesso utilizzando servizi di mixing CoinJoin e oscuri mercati online per nascondere la traccia del denaro.
Un cambio di strategia dopo luglio
Nella prima metà del 2024, gli hacker di Pyongyang hanno operato a pieno ritmo, ma la loro attività ha subito un crollo dopo un vertice di alto profilo a fine giugno. Ildent russo Vladimir Putin e il leader supremo nordcoreano Kim Jong Un si sono incontrati a Pyongyang per firmare un patto di difesa reciproca.
Il rapporto afferma che poco dopo si è registrato un forte calo del valore rubato dagli hacker nordcoreani, con un calo del 53,73% nella seconda metà dell'anno rispetto alla prima. Nel frattempo, gli attacchi informatici non nordcoreani hanno registrato un leggero aumento.
Gli analisti sono cauti nel tracciare un collegamento diretto tra il vertice e il rallentamento degli attacchi, ma bisogna ammettere che la tempistica è difficile da ignorare. La Russia ha sbloccato milioni di dollari di beni nordcoreani congelati più o meno nello stesso periodo, fornendo potenzialmente a Pyongyang fonti di finanziamento alternative.
D'altro canto, la Corea del Nord ha schierato truppe in Ucraina e, a quanto si dice, ha richiesto a Mosca tecnologie militari avanzate, quindi le sue risorse potrebbero essere state reindirizzate verso il conflitto.
