Negli ultimi tempi, si è assistito a un'evoluzione preoccupante nelle operazioni di spionaggio informatico condotte da lavoratori IT nordcoreani che si infiltrano in aziende occidentali. Questi individui, assumendo false identità, non si limitano più a rubare proprietà intellettuale, ma hanno iniziato a chiedere riscatti per non divulgare i dati sottratti. Questo nuovo approccio evidenzia una crescente sofisticazione delle loro tattiche finanziariamente motivate. Secondo un'analisi pubblicata dalla Secureworks Counter Threat Unit (CTU), in alcuni casi, i lavoratori fraudolenti hanno richiesto pagamenti di riscatto dai loro ex datori di lavoro dopo aver ottenuto accesso interno, una tattica non osservata in schemi precedenti. Un caso emblematico vede un appaltatore sottrarre dati proprietari quasi immediatamente dopo l'assunzione a metà del 2024.

Nickel Tapestry

Questa attività condivide somiglianze con un gruppo di minacce conosciuto come Nickel Tapestry, noto anche come Famous Chollima e UNC5267. Lo schema orchestrato dai lavoratori IT fraudolenti mira ad avanzare gli interessi strategici e finanziari della Corea del Nord, colpita da sanzioni, infiltrando aziende occidentali per generare entrate illecite. Spesso, questi lavoratori vengono inviati in paesi come Cina e Russia, dove si presentano come freelance in cerca di opportunità lavorative. In alcuni casi, rubano identità di persone legittime residenti negli Stati Uniti per raggiungere i loro obiettivi. Inoltre, sono noti per richiedere modifiche agli indirizzi di consegna dei laptop aziendali, spesso dirottandoli verso intermediari in farm di laptop, che vengono compensati da facilitatori esteri e sono incaricati di installare software di desktop remoto per consentire agli attori nordcoreani di connettersi ai computer.

Metodologie di infiltrazione

In alcuni casi, più appaltatori possono essere assunti dalla stessa azienda, oppure un individuo può assumere più identità. Secureworks ha osservato anche situazioni in cui i falsi appaltatori hanno cercato il permesso di utilizzare i propri laptop personali, arrivando a far annullare la spedizione di laptop aziendali perché hanno cambiato l'indirizzo di consegna durante il transito. Questo comportamento è in linea con la metodologia di Nickel Tapestry di evitare laptop aziendali, potenzialmente eliminando la necessità di un facilitatore in loco e limitando l'accesso a prove forensi.

Muta delle minacce

Un segnale dell'evoluzione delle attività malevole è l'emergere di prove che mostrano come un appaltatore, il cui impiego è stato terminato per scarse prestazioni, abbia inviato email di estorsione con allegati ZIP contenenti prove di dati rubati. Questo cambiamento modifica significativamente il profilo di rischio associato all'assunzione involontaria di lavoratori IT nordcoreani. Non cercano più solo uno stipendio regolare, ma puntano a somme più elevate, più rapidamente, attraverso furti di dati ed estorsioni dall'interno delle difese aziendali.