Lazarus all’attacco: Rubano identità con finti lavori IT remoti – Ecco la nuova minaccia invisibile

News
Visite: 80

Il gruppo Lazarus, legato alla Corea del Nord, è noto per le sue sofisticate attività di cyber spionaggio e frode informatica. Recentemente, un'indagine congiunta ha permesso ai ricercatori di osservare in tempo reale una delle loro tecniche più ingegnose: l'infiltrazione di aziende occidentali tramite una rete di falsi lavoratori IT remoti. Grazie a ambienti sandbox gestiti da ANY.RUN, è stato possibile monitorare direttamente i movimenti degli operatori mentre credevano di agire su veri portatili di sviluppatori statunitensi.

La tecnica di attacco e il ruolo dei falsi recruiter

L'attacco inizia spesso con un falso recruiter, come “Blaze”, che contatta sviluppatori tramite piattaforme di lavoro, offrendo opportunità fittizie nel settore finance, crypto, healthcare ed engineering. Il vero obiettivo è assumere la vittima come “frontman”, sfruttandone identità e dispositivi per permettere a operatori della Corea del Nord di lavorare da remoto sotto falsa identità. La strategia include furto di identità, superamento di interviste con risposte condivise e AI, e richiesta di accesso completo a account e dispositivi, compresi Social Security Number, ID, LinkedIn, Gmail e disponibilità continua del portatile.

Monitoraggio tramite sandbox e toolkit degli operatori

Il punto di svolta dell’indagine è stato l’utilizzo di sandbox virtuali che simulavano perfettamente un ambiente di lavoro reale, comprensivo di storico utilizzo, strumenti di sviluppo e proxy residenziali americani. In queste condizioni controllate, i ricercatori hanno potuto documentare il toolkit degli operatori, che si è rivelato focalizzato più sul controllo remoto e il furto di identità che sull’installazione di malware tradizionali.

Strumenti impiegati dagli operatori

Gli strumenti principali rilevati includono:

  • Software di automazione delle candidature lavorative basati su intelligenza artificiale
  • Generatori OTP per bypassare l’autenticazione a due fattori
  • Google Remote Desktop configurato per il controllo persistente della macchina
  • Routine di ricognizione del sistema

Tutte le connessioni erano instradate tramite Astrill VPN, già associata a precedenti infrastrutture Lazarus.

Obiettivo finale: controllo totale dell'identità

Un dettaglio significativo è emerso quando uno degli operatori ha lasciato un messaggio chiedendo di caricare documenti d’identità, SSN e dati bancari, confermando che lo scopo era la presa totale del controllo su identità e workstation della vittima, senza dover ricorrere a malware.

Implicazioni per la sicurezza aziendale

Questa indagine sottolinea come il lavoro da remoto sia diventato un vettore d’attacco ideale per minacce basate sull’identità. Le aziende devono quindi rafforzare la consapevolezza interna e dotare i team di strumenti per verificare tempestivamente qualsiasi attività sospetta, così da prevenire compromissioni gravi.

Pin It
, , , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.