Il gruppo Lazarus, noto per le sue sofisticate operazioni informatiche legate alla Corea del Nord, è stato recentemente smascherato grazie a un'indagine condotta da team specializzati in threat intelligence. L'inchiesta ha permesso di osservare in diretta le attività di una rete di operatori IT remoti legati alla divisione Famous Chollima del gruppo Lazarus, che miravano ad infiltrarsi in aziende occidentali sfruttando il lavoro da remoto.
Il metodo utilizzato dagli attaccanti segue uno schema ben rodato: tutto inizia con un finto recruiter che contatta un potenziale sviluppatore statunitense. Tramite identità rubate o prese in prestito, il gruppo Lazarus supera i colloqui di assunzione grazie a strumenti di intelligenza artificiale e risposte condivise. L'obiettivo non è solo ottenere l'accesso a un'azienda, ma anche il controllo totale dell'identità e delle risorse digitali della vittima. Gli operatori richiedono accesso completo a dati sensibili come Social Security Number, documenti d'identità, account LinkedIn e Gmail, oltre alla disponibilità continua del laptop.
Per ingannare i criminali, i ricercatori hanno utilizzato ambienti virtuali avanzati messi a disposizione da piattaforme di analisi malware. Questi ambienti simulavano perfettamente delle postazioni di lavoro reali, complete di cronologia d'uso, tool di sviluppo e connessione tramite proxy residenziali statunitensi. Gli operatori del Lazarus, ignari della trappola, hanno iniziato a installare tool specifici per il furto d'identità e il controllo remoto, tra cui Google Remote Desktop, configurato tramite PowerShell con PIN statico, e generatori di OTP per la gestione della doppia autenticazione. Le connessioni erano costantemente instradate tramite Astrill VPN, un dettaglio che conferma il legame con infrastrutture già riconducibili al gruppo Lazarus.
Un elemento distintivo di questa operazione è l'efficienza degli strumenti impiegati: l'accento non è posto sul classico malware, ma su tool per la presa di controllo delle identità digitali e l'automazione dei processi di assunzione tramite intelligenza artificiale. L'operatore, in alcuni casi, ha lasciato anche messaggi in chiaro sulla macchina virtuale, chiedendo esplicitamente documenti e credenziali bancarie.
Questo caso rappresenta un serio campanello d'allarme per tutte le aziende che effettuano assunzioni da remoto. Le minacce basate sull'identità sono ormai veicolo di infiltrazioni silenziose ma potenzialmente devastanti, capaci di mettere a rischio non solo un singolo dipendente, ma anche dati sensibili aziendali e accessi di livello manageriale. Formare il personale e dotarsi di strumenti per la verifica di richieste sospette è fondamentale per prevenire compromissioni interne e difendere l'azienda dalle nuove tecniche di attacco.
