Il mondo della cybersecurity è stato recentemente scosso da nuove rivelazioni riguardanti attori malevoli nordcoreani, noti per frodare aziende e individui tramite operazioni sofisticate. Un recente rapporto della SecureWorks Counter Threat Unit (CTU) ha evidenziato collegamenti tra questi attori e una truffa di crowdfunding del 2016. Questo suggerisce che i gruppi basati a Pyongyang potrebbero aver orchestrato truffe finanziarie illecite ben prima di utilizzare lavoratori IT per scopi fraudolenti.

La frode dei lavoratori IT, emersa alla fine del 2023, comporta l'infiltrazione di aziende occidentali e di altre regioni da parte di attori nordcoreani che cercano impiego sotto identità false. L'obiettivo è generare entrate per la nazione colpita dalle sanzioni. Questi individui, secondo il Ministero degli Affari Esteri della Corea del Sud, sono affiliati al 313° Ufficio Generale, un'organizzazione sotto il Dipartimento dell'Industria degli Armamenti del Partito dei Lavoratori della Corea.

Un aspetto rilevante di queste operazioni è l'invio frequente di lavoratori IT in Cina e Russia per lavorare presso aziende di facciata come Yanbian Silverstar e Volasys Silver Star. Queste aziende sono state precedentemente sanzionate dal Dipartimento del Tesoro degli Stati Uniti nel 2018 per il loro ruolo nell'occultamento della vera nazionalità dei lavoratori nordcoreani.

Nel 2023, il governo degli Stati Uniti ha sequestrato 17 domini internet che impersonavano aziende IT statunitensi per truffare imprese. Tra i domini confiscati, è stato identificato "silverstarchina[.]com", legato agli uffici di Yanbian Silverstar. Questo dominio, insieme ad altri, era stato registrato con lo stesso indirizzo e-mail e indirizzo fisico.

Uno di questi domini, "kratosmemory[.]com", è stato utilizzato per una campagna di crowdfunding su IndieGoGo nel 2016, che si è rivelata una truffa. I sostenitori non hanno mai ricevuto i prodotti promessi né rimborsi. Questo schema del 2016, sebbene di portata minore rispetto alle operazioni più elaborate degli ultimi anni, rappresenta un esempio precoce di sperimentazione di schemi di guadagno illecito da parte degli attori nordcoreani.

Parallelamente, il governo di Giappone, Corea del Sud e Stati Uniti ha lanciato un avviso congiunto al settore delle tecnologie blockchain riguardo ai continui attacchi da parte dei cyber attori nordcoreani. Questi gruppi, tra cui il noto Lazarus Group, continuano a condurre campagne di cybercrimine per rubare criptovalute, prendendo di mira scambi, custodi di asset digitali e utenti individuali.

Nel 2024, diverse aziende, tra cui DMM Bitcoin, Upbit, Rain Management, WazirX, e Radiant Capital, sono state colpite, con furti che superano i 659 milioni di dollari in criptovalute. Questa vicenda sottolinea la necessità di azioni internazionali rapide e supporto per recuperare i beni rubati.