Negli Stati Uniti è stata recentemente smantellata una vasta rete di lavoratori IT nordcoreani che, con la complicità di facilitatori internazionali, riusciva a infiltrarsi nell’economia digitale americana per aggirare le sanzioni e finanziare le attività illecite della Corea del Nord. Il Dipartimento di Giustizia USA ha annunciato l’arresto di un cittadino statunitense, la confisca di 29 conti finanziari e 21 siti web fraudolenti, nonché il sequestro di quasi 200 computer utilizzati per accedere da remoto ai network delle aziende vittime. Tra il 10 e il 17 giugno 2025, sono stati perquisiti 21 “laptop farm” in 14 stati, ovvero residenze dove i laptop aziendali venivano fisicamente ospitati per permettere l’accesso remoto ai lavoratori nordcoreani tramite tecnologie come KVM switch.

Supporto internazionale e modalità operative

Secondo le autorità, la rete era supportata da individui localizzati non solo negli Stati Uniti ma anche in Cina, Emirati Arabi Uniti e Taiwan, permettendo a lavoratori IT nordcoreani di ottenere impieghi remoti presso oltre 100 aziende americane utilizzando identità rubate o fittizie. Una volta assunti, questi lavoratori ricevevano salari regolari e ottenevano accesso a informazioni riservate, tra cui tecnologia militare statunitense e criptovalute. In un caso, è stato documentato un furto di oltre 900.000 dollari in asset digitali da una società blockchain di Atlanta.

Attività criminali e strumenti utilizzati

Oltre alla generazione di introiti illegali, questi lavoratori sfruttavano l’accesso interno per sottrarre dati sensibili, fondi, e ricattare le aziende minacciando la pubblicazione di dati riservati. Il DoJ ha anche sequestrato oltre 7,7 milioni di dollari in criptovalute e NFT legati a questa attività globale.

Principali arresti e ruoli dei complici

Tra gli arrestati spicca Zhenxing “Danny” Wang, accusato di aver orchestrato una frode pluriennale che ha fruttato più di 5 milioni di dollari. Altri complici identificati sono cittadini cinesi e taiwanesi, incaricati di compromettere l’identità di oltre 80 persone per favorire assunzioni fraudolente. I facilitatori statunitensi ricevevano e ospitavano i laptop aziendali, mentre società di comodo e conti correnti fittizi servivano a far sembrare i lavoratori affiliati a business legittimi.

Tattiche di elusione e tecnologie impiegate

Nel frattempo, Microsoft ha sospeso 3.000 account e-mail associati al gruppo, noto anche come Jasper Sleet, che crea identità digitali verosimili sfruttando profili LinkedIn, portfolio su GitHub e strumenti di intelligenza artificiale per alterare immagini e voci. Il gruppo utilizza anche VPN e software di remote management per nascondere la posizione reale, mentre i facilitatori forniscono documenti falsi per superare i controlli di identità aziendali.