Una fuga di notizie rivela la vita quotidiana dei truffatori informatici nordcoreani

7 agosto 2025, 19:15

Fogli di calcolo, messaggi Slack e file collegati a un presunto gruppo di informatici nordcoreani svelano la loro meticolosa pianificazione del lavoro e la loro mirata gestione, nonché la costante sorveglianza a cui sono sottoposti.

FOTO-ILLUSTRAZIONE: STAFF DI WIRED; GETTY IMAGES

La ricerca di lavoro è un nuovo tipo di inferno. Si sprecano ore a vagliare le posizioni aperte, a modificare lettere di presentazione, a gestire reclutatori ottusi, e tutto questo prima di iniziare con potenziali colloqui. Probabilmente, alcuni dei candidati più prolifici al mondo, o almeno i più persistenti, sono quelli che partecipano ai vasti programmi di reclutamento di lavoratori IT della Corea del Nord . Per anni, il regime repressivo di Kim Jong Un ha inviato con successo programmatori qualificati all'estero, dove hanno il compito di trovare lavoro da remoto e inviare denaro alla nazione pesantemente sanzionata e isolata. Ogni anno, migliaia di lavoratori IT generano un guadagno compreso tra 250 e 600 milioni di dollari, secondo le stime delle Nazioni Unite .

Ora, un'enorme quantità di dati, ottenuta da un ricercatore di sicurezza informatica, getta nuova luce su come un gruppo di presunti informatici nordcoreani abbia gestito le proprie attività e sulla meticolosa pianificazione alla base di questi piani per fare soldi. Il denaro guadagnato dai truffatori informatici contribuisce allo sviluppo di armi di distruzione di massa e ai programmi missilistici balistici della Corea del Nord, ha affermato il governo degli Stati Uniti. Email, fogli di calcolo, documenti e messaggi di chat provenienti da account Google, Github e Slack presumibilmente collegati ai presunti truffatori nordcoreani mostrano come questi ultimi monitorino i potenziali lavori, registrino le loro candidature in corso e registrino i guadagni con una scrupolosa attenzione ai dettagli.

La cache di dati, che offre uno spaccato della vita quotidiana di alcuni lavoratori informatici nordcoreani, include presumibilmente anche documenti d'identità falsi che potrebbero essere utilizzati per candidature di lavoro, nonché esempi di lettere di presentazione, dettagli di aziende produttrici di laptop e manuali utilizzati per creare account online. Ciò rafforza la dipendenza dei lavoratori nordcoreani dai servizi tecnologici statunitensi, come Google, Slack e GitHub.

"Penso che questa sia la prima volta che vedo le loro [operazioni] interne, come funzionano", afferma il ricercatore di sicurezza, che usa lo username SttyK e ha chiesto di non essere nominato per motivi di privacy e sicurezza. SttyK, che presenterà i suoi risultati alla conferenza sulla sicurezza Black Hat di Las Vegas oggi, afferma che una fonte confidenziale anonima ha fornito loro i dati degli account online. "Ci sono diverse decine di gigabyte di dati. Ci sono migliaia di email", afferma SttyK, che ha mostrato a WIRED la sua presentazione prima della conferenza.

Negli ultimi anni, i lavoratori IT nordcoreani si sono infiltrati in enormi aziende Fortune 500, in una miriade di aziende tecnologiche e di criptovalute e in innumerevoli piccole imprese. Sebbene non tutti i team di lavoratori IT utilizzino gli stessi approcci, spesso utilizzano identità false o rubate per ottenere lavoro e si avvalgono anche di facilitatori che li aiutano a coprire le loro tracce digitali . I lavoratori IT sono spesso di base in Russia o in Cina e godono di maggiore libertà – sono stati visti godersi feste in piscina e cenare fuori a base di costose bistecche – rispetto a milioni di nordcoreani a cui non vengono garantiti i diritti umani fondamentali. Un disertore nordcoreano che lavorava come lavoratore IT ha recentemente dichiarato alla BBC che l'85% dei suoi guadagni illeciti veniva inviato in Corea del Nord. "È comunque molto meglio di quando eravamo in Corea del Nord", ha affermato.

Diversi screenshot di fogli di calcolo nei dati ottenuti da SttyK mostrano un gruppo di addetti IT apparentemente suddivisi in 12 gruppi, ciascuno composto da circa una dozzina di membri, e un "capo" generale. I fogli di calcolo sono strutturati metodologicamente per monitorare lavori e budget: presentano schede di riepilogo e analisi che approfondiscono i dati per ciascun gruppo. Righe e colonne sono compilate in modo ordinato e sembrano essere aggiornate e manutenute regolarmente.

Le tabelle mostrano i potenziali obiettivi di lavoro per i lavoratori IT. Un foglio, che apparentemente include aggiornamenti quotidiani, elenca le descrizioni delle posizioni ("cercasi un nuovo sviluppatore React e Web3"), le aziende che le pubblicizzano e le loro sedi. Contiene anche link alle posizioni vacanti sui siti web dei freelance o ai recapiti di coloro che effettuano le assunzioni. Una colonna "stato" indica se sono "in attesa" o se sono stati "contattati".

Gli screenshot di un foglio di calcolo visionato da WIRED sembrano elencare i potenziali nomi reali degli stessi addetti IT. Accanto a ogni nome c'è un registro con la marca e il modello del computer che presumibilmente possiedono, nonché i monitor, i dischi rigidi e i numeri di serie di ciascun dispositivo. Il "capo principale", il cui nome non è elencato, apparentemente utilizza un monitor da 34 pollici e due dischi rigidi da 500 GB.

Una pagina di "analisi" nei dati visionati da SttyK, il ricercatore di sicurezza, mostra un elenco delle tipologie di attività in cui è coinvolto il gruppo di truffatori: intelligenza artificiale, blockchain, web scraping, sviluppo di bot, sviluppo di app mobile e web, trading, sviluppo di CMS, sviluppo di app desktop e "altri". Ogni categoria ha un budget potenziale elencato e un campo "totale pagato". Una dozzina di grafici in un foglio di calcolo affermano di monitorare quanto sono stati pagati, le aree geografiche più redditizie da cui guadagnare e se ricevere pagamenti settimanali, mensili o come somma fissa sia la strategia più redditizia.

"È gestito in modo professionale", afferma Michael "Barni" Barnhart, un importante ricercatore nordcoreano specializzato in hacking e minacce informatiche che lavora per l'azienda di sicurezza informatica DTEX. "Tutti devono raggiungere le proprie quote. Tutto deve essere annotato. Tutto deve essere annotato", afferma. Il ricercatore aggiunge di aver riscontrato livelli simili di tenuta dei registri presso i sofisticati gruppi di hacker nordcoreani , che hanno rubato miliardi in criptovalute negli ultimi anni, e sono in gran parte separati dai sistemi dei lavoratori IT. Barnhart ha esaminato i dati ottenuti da SttyK e afferma che si sovrappongono a ciò che lui e altri ricercatori stavano monitorando.

"Penso che questi dati siano molto reali", afferma Evan Gordenker, consulente senior presso il team di intelligence sulle minacce Unit 42 dell'azienda di sicurezza informatica Palo Alto Networks, che ha anche visionato i dati ottenuti da SttyK. Gordenker afferma che l'azienda aveva tracciato diversi account nei dati e che uno degli account GitHub più importanti aveva precedentemente reso pubblici i file dei dipendenti IT. Nessuno degli indirizzi email collegati alla RPDC ha risposto alle richieste di commento di WIRED.

GitHub ha rimosso tre account di sviluppatori dopo che WIRED ha contattato Raj Laud, responsabile della sicurezza informatica e online dell'azienda, affermando che sono stati sospesi in linea con le sue regole su "spam e attività non autentiche". "La prevalenza di tali attività di minaccia da parte di stati nazionali è una sfida che riguarda l'intero settore e una questione complessa che prendiamo sul serio", afferma Laud.

Google ha rifiutato di commentare gli account specifici forniti da WIRED, citando le policy relative alla privacy e alla sicurezza degli account. "Abbiamo implementato processi e policy per rilevare queste operazioni e segnalarle alle forze dell'ordine", afferma Mike Sinno, direttore del reparto rilevamento e risposta di Google. "Questi processi includono l'adozione di misure contro le attività fraudolente, la notifica proattiva alle organizzazioni prese di mira e la collaborazione con partner pubblici e privati per condividere informazioni sulle minacce che rafforzino le difese contro queste campagne".

"Abbiamo politiche rigorose che vietano l'uso di Slack da parte di individui o entità sanzionati e interveniamo tempestivamente quando identifichiamo attività che violano queste regole", afferma Allen Tsai, direttore senior delle comunicazioni aziendali presso Salesforce, la società madre di Slack. "Collaboriamo con le forze dell'ordine e le autorità competenti come richiesto dalla legge e non rilasciamo dichiarazioni su account specifici o indagini in corso".

Un altro foglio di calcolo elenca anche i membri come parte di un'unità chiamata "KUT", una potenziale abbreviazione della Kim Chaek University of Technology della Corea del Nord, citata negli avvertimenti del governo statunitense sui lavoratori IT collegati alla RPDC. Una colonna del foglio di calcolo elenca anche la "proprietà" come "Ryonbong", probabilmente riferendosi alla società di difesa Korea Ryonbong General Corporation, sanzionata dagli Stati Uniti dal 2005 e dall'ONU dal 2009. "La stragrande maggioranza di loro [lavoratori IT] è subordinata e lavora per conto di entità direttamente coinvolte nei programmi di armi di distruzione di massa e missili balistici della RPDC, vietati dall'ONU, nonché nei settori dello sviluppo e del commercio di armi convenzionali avanzate", ha affermato il Dipartimento del Tesoro degli Stati Uniti in un rapporto del maggio 2022 .

Nella miriade di account GitHub e LinkedIn, CV e siti web di portfolio collegati a lavoratori IT che i ricercatori hanno identificato negli ultimi anni, si riscontrano spesso modelli distinti. Indirizzi email e account utilizzano gli stessi nomi; i CV possono apparire identici. "Anche il riutilizzo del contenuto del curriculum è qualcosa che abbiamo visto frequentemente nei loro profili", afferma Benjamin Racenberg, ricercatore senior che ha monitorato i profili dei lavoratori IT nordcoreani presso l'azienda di sicurezza informatica Nisos. Racenberg afferma che i truffatori stanno adottando sempre più l'intelligenza artificiale per la manipolazione delle immagini , le videochiamate e come parte degli script che utilizzano. "Per i siti web di portfolio, li abbiamo visti utilizzare modelli e riutilizzare lo stesso modello più e più volte", afferma Racenberg.

Tutto ciò indica un certo lavoro quotidiano e faticoso per gli addetti ai sistemi informatici incaricati di gestire i piani criminali del regime di Kim. "È un gran copia e incolla", afferma Gordenker dell'Unità 42. Un presunto addetto ai sistemi informatici monitorato da Gordenker è stato visto usare 119 identità. "Cerca su Google i generatori di nomi giapponesi – ovviamente scritti male – e poi, nel giro di circa quattro ore, compila fogli di calcolo pieni di nomi e potenziali luoghi [da prendere di mira]".

La documentazione dettagliata ha anche un altro scopo: tracciare i dipendenti IT e le loro azioni. "Ci sono molte parti in movimento una volta che il denaro finisce nelle mani dei vertici, quindi avranno bisogno di numeri precisi", afferma Barnhart di DTEX. In alcuni casi , sui computer dei truffatori è stato trovato un software di monitoraggio dei dipendenti e i ricercatori affermano che i nordcoreani durante i colloqui di lavoro non rispondono alle domande su Kim .

SttyK afferma di aver visto decine di registrazioni dello schermo nei canali Slack che mostravano l'attività quotidiana dei dipendenti. Negli screenshot di un'istanza di Slack, l'account "Boss" invia un messaggio: "@channel: Tutti dovrebbero cercare di lavorare più di almeno 14 ore al giorno". Il messaggio successivo che hanno inviato recita: "Questa traccia temporale include i tempi di inattività, come sapete".

"È interessante notare che la loro comunicazione è stata esclusivamente in inglese, non in coreano", afferma SttyK. Il ricercatore, insieme ad altri, ipotizza che ciò possa essere dovuto a un paio di motivi: in primo luogo, per mimetizzarsi in attività legittime; e in secondo luogo, per migliorare le loro competenze in inglese per candidature e colloqui. I dati dell'account Google, afferma SttyK, mostrano che utilizzavano frequentemente la traduzione online per elaborare i messaggi.

Oltre a dare un'occhiata alle modalità con cui gli addetti IT monitorano le proprie prestazioni, i dati ottenuti da SttyK forniscono alcuni indizi limitati sulla vita quotidiana dei singoli truffatori. Un foglio di calcolo elenca un torneo di pallavolo che gli addetti IT apparentemente avevano organizzato; nei canali Slack, hanno festeggiato compleanni e condiviso meme motivazionali tratti da un popolare account Instagram. In alcune registrazioni dello schermo, afferma SttyK, si vedono mentre giocano a Counter-Strike . "Ho percepito una forte unità tra i membri", afferma SttyK.