L’FBI chiude un sito di frode crypto collegato al gruppo Lazarus

• Gli hacker si sono spacciati per reclutatori nel settore tecnologico per falsi colloqui di lavoro.
• Malware utilizzato per rubare portafogli crypto e credenziali.
• Le società di comodo sono state rintracciate con indirizzi in South Carolina e Buffalo.

La strategia di guerra informatica segreta della Corea del Nord ha preso una nuova piega: gli investigatori federali statunitensi hanno scoperto un’elaborata campagna di malware legata alle criptovalute, condotta da società di facciata che si spacciano per legittimi reclutatori nel settore tecnologico.

Secondo un rapporto pubblicato venerdì da Reuters , alcuni hacker affiliati al governo nordcoreano hanno creato false aziende per distribuire software dannosi destinati a colpire gli sviluppatori di criptovalute.

L’obiettivo: rubare risorse digitali e credenziali sensibili eludendo sanzioni e controlli.

L’FBI, in coordinamento con la società di sicurezza informatica Silent Push, ha smantellato un elemento chiave di questa operazione sequestrando il dominio web di una delle entità coinvolte, Blocknovas LLC.

Questa mossa segna un’intensificazione della repressione delle minacce informatiche promosse dagli stati che sfruttano il settore delle criptovalute.

Identificate tre società di facciata in una truffa legata alla Corea del Nord

Al centro dell’operazione c’erano tre società (Blocknovas LLC, Softglide LLC e Angeloper Agency), create utilizzando indirizzi falsificati negli Stati Uniti.

Blocknovas e Softglide erano rispettivamente registrati ufficialmente nel New Mexico e a New York, mentre Angeloper sembrava operare senza alcuna regolare registrazione.

Dai registri pubblici esaminati da Reuters è emerso che Blocknovas era intestata a un terreno vuoto nella Carolina del Sud e che la documentazione di Softglide era collegata a una modesta società di consulenza fiscale di Buffalo.

Giovedì l’FBI ha confermato di aver sequestrato il dominio di Blocknovas.

Silent Push l’ha identificata come la più attiva delle tre entità, avendo già compromesso numerose vittime nel settore delle criptovalute.

Si dice che queste società fossero gestite da informatici legati al Gruppo Lazarus, un’unità del Reconnaissance General Bureau della Corea del Nord.

Questa agenzia supervisiona molte delle operazioni di intelligence e di hacking all’estero di Pyongyang.

Malware diffuso tramite falsi colloqui di lavoro

La tecnica impiegata era tanto ingannevole quanto efficace. Secondo l’FBI e Silent Push, gli hacker nordcoreani si sono spacciati per reclutatori, offrendo falsi colloqui di lavoro a ignari sviluppatori di criptovalute.

Questi sviluppatori, attirati da offerte vantaggiose, alla fine sono stati indotti a scaricare malware.

Una volta installato, il malware ha fornito agli aggressori l’accesso a portafogli crypto e ambienti di sviluppo, consentendo transazioni non autorizzate e il furto di credenziali riservate.

L’intera campagna sembra progettata non solo per rubare fondi, ma anche per consentire violazioni più profonde nelle piattaforme che creano o gestiscono asset digitali.

Tali tattiche sono viste come un’evoluzione di precedenti operazioni informatiche legate alla Corea del Nord, in cui la distribuzione di malware e i tentativi di phishing erano diretti principalmente agli exchange e ai protocolli DeFi.

I crimini crypto sono considerati una fonte di entrate chiave per il programma di armi

Questa campagna malware sottolinea la crescente dipendenza della Corea del Nord dalla criminalità informatica per finanziare le sue ambizioni internazionali.

Rapporti delle Nazioni Unite e indagini indipendenti hanno dimostrato che il regime fa sempre più ricorso al furto di criptovalute come mezzo per finanziare i suoi programmi nucleari e missilistici balistici.

Nel 2022, il regime è stato collegato al famigerato attacco informatico ad Axie Infinity, che ha causato perdite per oltre 600 milioni di dollari.

Più di recente, è emerso che migliaia di professionisti IT sono stati inviati all’estero per lavorare in segreto per alcune aziende, in cambio di pagamenti in criptovalute, che vengono poi reinvestiti nelle casse della Corea del Nord.

Tutti questi sforzi violano direttamente le sanzioni imposte dall’Office of Foreign Assets Control (OFAC) del Tesoro statunitense e diverse risoluzioni delle Nazioni Unite volte a limitare l’accesso della Corea del Nord ai canali di finanziamento internazionali.

Mentre le indagini proseguono, gli esperti di sicurezza informatica avvertono che potrebbero esistere altre società di facciata e che gli sviluppatori e le aziende di criptovalute devono intensificare i loro processi di due diligence quando vengono contattati con offerte di lavoro non richieste.