In un attacco di phishing su vasta scala, hacker nordcoreani hanno rubato 137 milioni di dollari a utenti di TRON in un solo giorno. L'evento evidenzia l'elevato rischio di sicurezza nel settore delle criptovalute e la sofisticazione delle operazioni di hacking sponsorizzate dallo stato. Secondo il rapporto di Mandiant per il 2025, il crescente interesse della Corea del Nord verso il settore Web3 e le criptovalute è principalmente motivato dalla necessità di aggirare le pesanti sanzioni internazionali.

Attori delle Minacce

Gli attori delle minacce affiliati alla Corea del Nord, noti nel settore come UNC1069, UNC4899 e UNC5342, si concentrano su sviluppatori e organizzazioni coinvolte nello sviluppo di blockchain e Web3. Questi gruppi utilizzano tecniche di ingegneria sociale per rubare asset digitali e criptovalute, spesso impersonando investitori o inviando inviti a riunioni false via Telegram. L'obiettivo finale è accedere illegalmente ai portafogli di criptovalute e alle risorse aziendali per finanziare programmi di armamenti di distruzione di massa.

Gruppi di Hacking

In particolare, UNC1069 è attivo almeno dal 2018 e si distingue per l'uso di inviti a riunioni false per accedere ai beni digitali delle vittime. UNC4899 è noto per campagne di phishing a tema lavorativo che includono l'invio di malware come parte di presunti incarichi di codifica. UNC5342, dal canto suo, si concentra su progetti malware mascherati da offerte di lavoro per ingannare gli sviluppatori.

Altri Attacchi

Un altro gruppo, UNC4736, è stato coinvolto in attacchi alla catena di approvvigionamento, come quello contro 3CX nel 2023, compromettendo applicazioni di trading software per inserirvi trojan. Inoltre, il cluster UNC3782 ha condotto campagne di phishing su larga scala contro utenti di criptovalute, rubando milioni in poco tempo.

Strategie di Infiltrazione

Gli IT worker nordcoreani, operando spesso dalla Cina e dalla Russia, utilizzano anche identità rubate e tecnologie deepfake per superare i controlli durante i colloqui di lavoro. Questo permette loro di ottenere impieghi in remoto presso aziende occidentali, con lo scopo di dirottare le retribuzioni verso Pyongyang e assicurarsi un accesso prolungato alle reti delle vittime.

Il progresso tecnologico e l'uso di metodi non convenzionali, come l'utilizzo di identità sintetiche, evidenziano l'efficacia delle operazioni di infiltrazione della Corea del Nord. Queste attività non solo finanziano il regime, ma rappresentano anche una minaccia crescente per la sicurezza globale, richiedendo una maggiore vigilanza e strategie di difesa avanzate.