Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Lazarus all’attacco: Rubano identità con finti lavori IT remoti – Ecco la nuova minaccia invisibile
Il gruppo Lazarus, legato alla Corea del Nord, è noto per le sue sofisticate attività di cyber spionaggio e frode informatica. Recentemente, un'indagine congiunta ha permesso ai ricercatori di osservare in tempo reale una delle loro tecniche più ingegnose: l'infiltrazione di aziende occidentali tramite una rete di falsi lavoratori IT remoti.
Grazie a ambienti sandbox gestiti da ANY.RUN, è stato possibile monitorare direttamente i movimenti degli operatori mentre credevano di agire su veri portatili di sviluppatori statunitensi.
La tecnica di attacco e il ruolo dei falsi recruiter
L'attacco inizia spesso con un falso recruiter, come “Blaze”, che contatta sviluppatori tramite piattaforme di lavoro, offrendo opportunità fittizie nel settore finance, crypto, healthcare ed engineering. Il vero obiettivo è assumere la vittima come “frontman”, sfruttandone identità e dispositivi per permettere a operatori della Corea del Nord di lavorare da remoto sotto falsa identità. La strategia include furto di identità, superamento di interviste con risposte condivise e AI, e richiesta di accesso completo a account e dispositivi, compresi Social Security Number, ID, LinkedIn, Gmail e disponibilità continua del portatile.
Monitoraggio tramite sandbox e toolkit degli operatori
Il punto di svolta dell’indagine è stato l’utilizzo di sandbox virtuali che simulavano perfettamente un ambiente di lavoro reale, comprensivo di storico utilizzo, strumenti di sviluppo e proxy residenziali americani. In queste condizioni controllate, i ricercatori hanno potuto documentare il toolkit degli operatori, che si è rivelato focalizzato più sul controllo remoto e il furto di identità che sull’installazione di malware tradizionali.
Strumenti impiegati dagli operatori
Gli strumenti principali rilevati includono:
- Software di automazione delle candidature lavorative basati su intelligenza artificiale
- Generatori OTP per bypassare l’autenticazione a due fattori
- Google Remote Desktop configurato per il controllo persistente della macchina
- Routine di ricognizione del sistema
Tutte le connessioni erano instradate tramite Astrill VPN, già associata a precedenti infrastrutture Lazarus.
Obiettivo finale: controllo totale dell'identità
Un dettaglio significativo è emerso quando uno degli operatori ha lasciato un messaggio chiedendo di caricare documenti d’identità, SSN e dati bancari, confermando che lo scopo era la presa totale del controllo su identità e workstation della vittima, senza dover ricorrere a malware.
Implicazioni per la sicurezza aziendale
Questa indagine sottolinea come il lavoro da remoto sia diventato un vettore d’attacco ideale per minacce basate sull’identità. Le aziende devono quindi rafforzare la consapevolezza interna e dotare i team di strumenti per verificare tempestivamente qualsiasi attività sospetta, così da prevenire compromissioni gravi.