CrowdStrike: Nordcoreani responsabili di quasi la metà degli attacchi informatici all’industria tech USA
Un nuovo rapporto del colosso della cybersicurezza CrowdStrike ha rivelato che hacker nordcoreani, mascherati da lavoratori IT remoti e reclutatori online, sono stati responsabili di circa la metà di tutte le intrusioni documentate “hands-on-keyboard” (manuali) nelle aziende tecnologiche statunitensi nell’ultimo anno. Il rapporto annuale dell’azienda sul panorama della cybersicurezza evidenzia la crescente minaccia rappresentata dagli operatori nordcoreani, divenuti una fonte significativa di intrusioni informatiche nel settore tecnologico. Gli hacker associati al regime di Kim Jong Un prendono continuamente di mira aziende e sviluppatori con schemi volti a rubare informazioni e criptovalute per finanziare il programma di armi nucleari di Pyongyang, vietato dal diritto internazionale.
CrowdStrike ha dichiarato che durante il periodo coperto dal rapporto — da aprile 2025 a maggio 2026 — il gruppo di hacker nordcoreani che l’azienda chiama “Famous Chollima” ha rappresentato il 47% di tutta l’attività supportata dallo stato che prendeva di mira il settore tecnologico. Il gigante della sicurezza tiene traccia delle intrusioni “hands-on-keyboard” perché queste rappresentano tipicamente veri hacker umani che conducono attività informatiche malevole ed evasive, piuttosto che malware automatizzati che gli strumenti di sicurezza tradizionali possono rilevare. Questi attacchi generalmente iniziano con password o credenziali rubate, seguite dall’abuso di strumenti legittimi già presenti nei sistemi del bersaglio per mantenere un accesso persistente nel tempo.
Famous Chollima è noto per impersonare lavoratori del settore tecnologico, come sviluppatori, programmatori e personale IT, e poi candidarsi per lavori a distanza presso aziende tecnologiche statunitensi, europee e asiatiche con false pretese. Per riuscirci, gli hacker utilizzano l’intelligenza artificiale per generare immagini deepfake in tempo reale per falsificare i volti di persone reali, e le abbinano a documenti d’identità fraudolenti come passaporti e patenti di guida rubati per impersonare americani o altri cittadini stranieri. Questo avviene perché la Corea del Nord è fortemente sanzionata dall’Occidente e dalle Nazioni Unite per il suo continuo sviluppo di armi nucleari.
Una volta infiltrati, gli hacker guadagnano anche uno stipendio dalle aziende che compromettono, il quale viene poi convogliato al regime nordcoreano, il tutto mentre rubano proprietà intellettuale e altre informazioni aziendali sensibili. Le informazioni rubate vengono spesso utilizzate come arma; quando gli operatori vengono infine scoperti, minacciano spesso di esporre ciò che hanno preso a meno che l’azienda non paghi un riscatto. Gli hacker prendono di mira anche gli sviluppatori di blockchain con l’intenzione di rubare grandi quantità di criptovalute, che il regime di Kim utilizza per aggirare la sua ampia incapacità di utilizzare il sistema bancario occidentale. La Corea del Nord ha accumulato miliardi di dollari in criptovalute rubate nel corso degli anni, con circa 2 miliardi di dollari solo nel 2025.