Gli hacker nordcoreani prendono di mira i freelance su Upwork e GitHub

Secondo i ricercatori di sicurezza informatica, gli agenti nordcoreani hanno “diversificato” il loro modo di frodare le vittime attraverso piattaforme di freelance e di code hosting che reclutano utenti ignari come proxy didentper lavori tecnologici da remoto. 

I dipendenti IT della Repubblica Popolare Democratica di Corea (RPDC) utilizzano Upwork, Freelancer e GitHub per impersonare lavoratori legittimi ed eludere le sanzioni internazionali, avvalendosi di account verificati appartenenti a persone reali.

Secondo il ricercatore di sicurezza informatica Heiner García Pérez, membro di SEAL Intel, gli hacker iniziano pubblicando offerte di lavoro freelance o contattando i candidati, quindi spostano le conversazioni su canali crittografati come Telegram o Discord, dove forniscono istruzioni dettagliate su come impostare l'accesso remoto e i controlli di verifica.

I malfattori della RPDC usano i freelance per aggirare le sanzioni

Garcia ha scoperto che gli agenti della RPDC possono aggirare i filtri geografici, idente i sistemi di rilevamento VPN che normalmente bloccherebbero gli utenti provenienti da paesi sanzionati, utilizzando silenziosamente identitàdent. 

Ciò consente loro di candidarsi o svolgere lavori IT da remoto sottodentrubata o presa in prestito, nascondendone l'origine e riscuotendo pagamenti da clienti ignari. 

"Questi attori sono organizzati, coordinati e condividono strategie operative. La coerenza dei loro metodi dimostra che si tratta di un sistema ripetibile e sostenuto dallo Stato", ha scritto il membro dell'intelligence dei SEAL.

Come riportato da Cryptopolitan ad agosto, diversi dipendenti IT nordcoreani si sono infiltrati in aziende internazionali utilizzando false identitàdentCiò avrebbe aiutato le autorità della RPDC a inviare professionisti IT remoti all'estero per assicurarsi ruoli freelance o a contrattotracidentità rubate o prese in prestitodentinsieme a società fittizie che mascherano la loro affiliazione.

Coloro le cuidentvengono utilizzate ricevono solo circa il 20% dei guadagni totali, mentre gli operatori trattengono l'80%, incanalato tramite portafogli crittografici o addirittura conti bancari tradizionali. 

Utilizzo dell'intelligenza artificiale per manipolare immagini e nomi aziendali

L'indagine di García Pérez ha portato alla luce diversi comportamenti caratterizzati da sofisticatezza tecnica e occultamento deliberato. In un caso, un addetto IT aveva creato una cartella di Google Drive denominata "Le mie foto", in cui venivano archiviati ritratti modificati dall'intelligenza artificiale, insieme a cartelle con i nomi di altre persone. L'esperto ritiene che questi documenti digitali siano persone distinte gestite dallo stesso operatore.

I file recuperati dall'unità contenevano informazioni più approfondite sui processi di reclutamento e pagamento. Un file intitolato "Account" conteneva istruzioni che spiegavano come accedere a Upwork, lo scopo della collaborazione e come sarebbero stati suddivisi i profitti. 

Alcune cartelle erano denominate in coreano, come "it개발 매칭 플랫폼 사이트", che si traduce come "sito di piattaforma di abbinamento per lo sviluppo IT". L'investigatore ha sostenuto che tali documenti venivano utilizzati per "utenti di lingua coreana e per l'ecosistema IT nazionale"

Heiner García Pérez ha anche scoperto che gli attori nordcoreani sfruttano le comunità online per disabili, i portali di incontro tra persone e lavoro e persino i siti web di amicizia come InterPals per reclutare collaboratori.

Flussi di pagamento tramite criptovalute, PayPal e banche

I target ideali di tali operazioni si trovano principalmente negli Stati Uniti, in Europa e in alcune parti dell'Asia. Tuttavia, Ucraina e Filippine sono state le regioni più frequentementedentnei materiali di reclutamento perché presentano posizioni geografiche adatte ai candidati provenienti da contesti a basso reddito, che potrebbero essere più ricettivi alle "opportunità di guadagno rapido"

"Se un cliente pubblica un progetto, molti utenti freelance partecipano a quel progetto. Quindi, il cliente discute il proprio progetto con i freelance e lo affida allo sviluppatore selezionato. Se scelgo, posso lavorare al progetto del cliente. Una volta completato il progetto, posso ricevere denaro dal cliente. Il denaro verrà accreditato sul tuo account freelance", ha spiegato un reclutatore IT a un'abbonata di un account freelance di nome "Ana" per spiegare come guadagnare

La struttura di condivisione dei profitti tra agenti e collaboratori viene concordata all'inizio dello scambio. Nella maggior parte dei casi documentati, gli addetti IT convincono le vittime a utilizzare criptovalute, PayPal e persino bonifici bancari.

In un caso verificato, un addetto IT nordcoreano ha utilizzato un account Upwork fraudolento registrato sotto l'dentdi un architetto con sede nell'Illinois.