Hacker nordcoreani dietro il 50% degli attacchi tech USA

Gli attacchi informatici provenienti dalla Corea del Nord rappresentano ormai una minaccia strutturale per l’industria tecnologica globale. Secondo CrowdStrike, i gruppi di hacker nordcoreani hanno orchestrato circa il 50% degli attacchi cibernetici registrati negli ultimi dodici mesi contro aziende statunitensi, europee e asiatiche. Il dato emerge da un’analisi consolidata delle operazioni malevole documentate dalla piattaforma di cybersecurity, che monitora costantemente le minacce a livello globale.

La tattica principale adottata da questi attaccanti rimane sofisticata e ben orchestrata: utilizzo di identità fittizie per infiltrarsi come consulenti IT remoti e recruiter presso le aziende target. Questo metodo consente ai criminali di guadagnare accesso legittimo alle infrastrutture aziendali, aggirando così i sistemi di controllo tradizionali e creando un backdoor per operazioni malevole successive.

Il meccanismo dell’attacco e i vettori di ingresso

La sofisticazione dell’operazione risiede nella fase iniziale di social engineering. I criminali costruiscono profili LinkedIn e portfolio tecnici credibili, spesso con anni di history falsificato. Contattano dipartimenti IT e risorse umane presso aziende di medie e grandi dimensioni, offrendo servizi di consulenza in infrastrutture cloud, DevOps, cybersecurity e amministrazione di sistema. La loro conoscenza tecnica autentica—acquisita tramite studio reale delle tecnologie enterprise—rende le loro proposte difficili da distinguere da quelle di consulenti legittimi.

Una volta assunti o integrati come contractor, gli attaccanti ottengono credenziali VPN, accesso alle reti interne e privilegi amministrativi. Da questa posizione privilegiata, installano strumenti di persistenza, esfiltrano dati sensibili e preparano il terreno per attacchi più ampi. Le operazioni documentate includono:

• Installazione di malware stealth su sistemi critici
• Furto di proprietà intellettuale e codice sorgente
• Accesso a database con dati clienti e finanziari
• Creazione di tunnel di comunicazione per operazioni future
• Esfiltrazione di credentials VPN e MFA hardware tokens

Impatto settoriale e distribuzione geografica degli attacchi

L’analisi di CrowdStrike evidenzia una distribuzione non casuale degli attacchi. Le industrie colpite con maggiore intensità sono quelle a più alto valore strategico: settore finanziario, difesa, tecnologia, manufacturing e utilities. Le organizzazioni europee hanno subito incrementi significativi di tentativi di infiltrazione rispetto al 2025, con particolare concentrazione su aziende con operazioni critiche in ambito infrastrutturale e innovazione tecnologica.

L’Asia rimane anch’essa nel mirino, con focus specifico su startup di semiconductor, software e cloud computing. Questo pattern suggerisce che l’attività non è casuale ma orientata verso il furto di IP strategico, probabilmente in supporto a programmi di sviluppo tecnologico statale nordcoreano o per finanziare ulteriormente le operazioni di cyberwarfare.

Ciò che rende questa minaccia particolarmente insidiosa è l’assenza quasi totale di indicatori tecnici classici nella fase iniziale. Non si tratta di malware zero-day o exploit sofisticati, ma di ingegneria sociale pura combinata con pazienza operativa. Gli attaccanti investono settimane o mesi per costruire cover credibili e attendere l’opportunità giusta.

Le organizzazioni dovrebbero implementare controlli comportamentali sugli account IT remoti—monitoraggio dei modelli di accesso, orario anomalo di attività, movimenti laterali inaspettati—e verifiche di identità multi-strato per nuovi contractor. La semplicità della metodologia rende questi attacchi effettivi ma non invulnerabili a difese ben strutturate. Secondo le proiezioni attuali di Mandiant, l’intensità di queste operazioni dovrebbe mantenersi o aumentare nei prossimi sei-otto mesi, rendendo l’urgenza della patch organizzativa non rimandabile.

Ripreso da: TechCrunch