Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La Corea del Nord ha sviluppato NKITW, un sistema coordinato che impiega dei lavoratori IT sotto falsa identità per infiltrarsi all'interno delle aziende occidentali. Reclutando sviluppatori stranieri e utilizzando specifici intermediari, il regime sta aggirando le sanzioni e accede ai dati sensibili all'interno delle aziende. Il fenomeno espone delle gravi vulnerabilità nei processi di selezione del personale, che stanno trasformando il recruiting in un vettore di attacco concreto per la sicurezza informatica globale
La Corea del Nord, da tempo simbolo di segretezza, ha trovato un modo inaspettato per entrare nel mercato del lavoro globale. Una nuova inchiesta ha rivelato come il Paese stia costruendo un sistema di impiego a più livelli, sotto falso nome, reclutando specialisti da altri Paesi e infiltrandosi nelle aziende occidentali.
Un rapporto di Flare Research rivela i dettagli di un’operazione nota come NKITW. Questo programma impiega lavoratori IT nordcoreani presso aziende straniere sotto false identità. L’obiettivo principale è quello di guadagnare valuta estera eludendo le sanzioni, ma la natura delle organizzazioni prese di mira suggerisce anche un possibile interesse per i dati e la tecnologia.
Gli autori dello studio hanno scoperto che i lavoratori del settore IT provenienti da Iran, Siria, Libano e Arabia Saudita vengono attivamente reclutati nell’ambito di questo sistema. I coordinatori nordcoreani non si limitano a utilizzare i dati altrui, ma creano una vera e propria rete. Alcuni partecipanti preparano curriculum e gestiscono profili su LinkedIn e GitHub, altri sostengono colloqui di lavoro, e altri ancora ricevono lo stipendio tramite intermediari.
Documenti interni rivelano una chiara divisione dei ruoli. Ad esempio, un operatore con il nome in codice “C” reclutava sviluppatori iraniani per colloqui tecnici. Uno di questi candidati lavorava sotto il nome di un fittizio specialista americano, e le sue reali competenze venivano adattate per adattarsi alla copertura. Centinaia di candidature venivano presentate quotidianamente per posizioni lavorative negli Stati Uniti e in Europa.
Sono stati presi di mira appaltatori della difesa, piattaforme di scambio di criptovalute, società di telecomunicazioni e istituti finanziari. In alcuni casi, i partecipanti hanno raggiunto le fasi finali del reclutamento, tra cui la verifica dei documenti e la ricezione di computer portatili aziendali. Talvolta, le operazioni sono state interrotte a causa di controlli biometrici, ma il processo è stato poi riavviato con un’identità diversa.
Il sistema è supportato da una rete di intermediari negli Stati Uniti. Questi si occupano di ricevere le attrezzature, elaborare i pagamenti e creare l’illusione della presenza di un dipendente nel paese. Parallelamente, vengono utilizzate società di comodo per attirare nuovi partecipanti, offrendo facili guadagni a fronte di un impegno minimo.
La selezione dei candidati riveste un ruolo particolarmente importante. I coordinatori nordcoreani cercano attivamente sviluppatori tramite LinkedIn, valutano la loro conoscenza dell’inglese e verificano persino eventuali problemi legati al servizio militare. La corrispondenza include offerte di pagamento in criptovaluta e promesse di assistenza per il trasferimento negli Stati Uniti.
Lo studio dimostra che non si tratta di tentativi isolati, bensì di un sistema coordinato su vasta scala. La Corea del Nord sta costruendo una rete internazionale in cui veri specialisti lavorano sotto falso nome e le aziende spesso ignorano la vera identità dei propri dipendenti. In queste circostanze, i tradizionali metodi di selezione del personale non sono più efficaci.
Flare Research ha condiviso i risultati della sua ricerca con le forze dell’ordine statunitensi.
Le conclusioni del rapporto aumentano la pressione sulle aziende: la selezione dei candidati e dei dipendenti richiede nuovi approcci, altrimenti il rischio di intrusioni occulte non potrà che aumentare.
