Negli ultimi mesi le campagne di social engineering su LinkedIn hanno mostrato una nuova evoluzione legata a operatori IT riconducibili alla Corea del Nord. La tattica punta a ottenere assunzioni in posizioni da remoto presso aziende occidentali, sfruttando identità rubate o costruite con cura. La novità più rilevante è l’uso di account LinkedIn reali di professionisti impersonati, spesso completi di email aziendali verificate e badge di identità, elementi che aumentano la credibilità durante la selezione del personale.

Questo schema, noto nel settore come minaccia dei remote worker DPRK, ha obiettivi concreti. Da un lato generare entrate costanti tramite stipendi, dall’altro abilitare cyber espionage con furto di dati sensibili e accesso a repository di codice e infrastrutture interne. In alcuni casi l’intrusione si trasforma in estorsione, con richieste di riscatto per evitare la pubblicazione delle informazioni sottratte. Una volta ottenuti i pagamenti, i fondi vengono spesso spostati in criptovalute e riciclati con tecniche come chain hopping e token swapping, usando exchange decentralizzati e bridge per rendere più complesso il tracciamento on-chain.

Per le aziende, la sicurezza del processo di hiring diventa quindi un tema di cybersecurity. Una misura pratica è verificare che l’account LinkedIn del candidato sia effettivamente controllato dall’email dichiarata, ad esempio chiedendo una connessione o un passaggio di verifica che colleghi identità digitale e canale ufficiale. Anche le persone che sospettano un furto di identità possono ridurre il rischio pubblicando un avviso e indicando canali di contatto verificabili, come un indirizzo email aziendale.

In parallelo emerge una seconda campagna che sfrutta finte procedure di selezione. Falsi recruiter contattano le vittime su LinkedIn e propongono colloqui, poi chiedono di completare test tecnici che portano a eseguire comandi malevoli. Un esempio ricorrente è il clone di repository GitHub e l’installazione di pacchetti npm che attivano malware. Sono stati osservati anche vettori basati su task file di Microsoft VS Code e codice JavaScript camuffato, con l’obiettivo di installare tool per accesso persistente e furto di credenziali e wallet crypto. In alcune varianti compaiono framework RAT modulari distribuiti tramite pacchetti npm, capaci di eseguire comandi, esfiltrare file e mantenere comunicazioni cifrate con server di comando e controllo.