Gli Stati Uniti hanno recentemente imposto sanzioni contro un membro del gruppo di hacker nordcoreano Andariel, coinvolto in un vasto schema fraudolento di lavoro IT da remoto. Questo schema, che si è sviluppato tra il 2022 e il 2023, prevedeva l’utilizzo di identità rubate a cittadini statunitensi per creare falsi profili di lavoratori IT nordcoreani che si spacciavano per americani in cerca di impieghi da remoto negli USA. Questa operazione ha permesso alla Corea del Nord di generare flussi di entrate illecite, che venivano poi canalizzati verso il finanziamento di programmi militari e nucleari tramite complesse transazioni in criptovalute.

Sanzioni contro Song Kum Hyok e collaborazione internazionale

Le sanzioni hanno colpito Song Kum Hyok, cittadino nordcoreano residente in Cina, accusato di aver orchestrato e facilitato questo schema. Attraverso la creazione di alias e l’impiego di IT worker stranieri, Song avrebbe collaborato con aziende russe e nordcoreane per assumere e far lavorare clandestinamente decine di operatori IT in Russia. Anche entità russe e ulteriori società coinvolte nel reclutamento e nell’ospitalità di questi lavoratori sono state sanzionate.

Precedente storico e attività dei gruppi cybercriminali

Questa azione rappresenta un precedente importante, in quanto è la prima volta che un membro del gruppo Andariel, considerato un sottoinsieme del noto Lazarus Group legato al Reconnaissance General Bureau della Corea del Nord, viene esplicitamente collegato a queste attività di frode lavorativa. Questi gruppi sono da anni al centro di attività cybercriminali, tra cui sviluppo di malware, attacchi ransomware e furto di criptovalute su larga scala. Secondo recenti dati, nel solo primo semestre del 2025 la Corea del Nord sarebbe responsabile di circa 1,6 miliardi di dollari rubati tramite 75 attacchi e exploit nel settore delle criptovalute.

Risposta delle autorità e necessità di cooperazione

Le autorità statunitensi hanno inoltre sequestrato decine di account finanziari, siti web fraudolenti e quasi 200 computer collegati alle attività illecite. Questo dimostra l’impegno crescente delle istituzioni americane nel contrastare la minaccia rappresentata dal cybercrime transnazionale nordcoreano. Tuttavia, si sottolinea anche la necessità di una collaborazione internazionale più stretta, dato che queste operazioni spesso si basano su una complessa rete di società di comodo e lavoratori distribuiti tra Cina, Russia, Europa e Stati Uniti.

Minacce emergenti e tecniche di attacco

Oltre alle sanzioni, emerge la pericolosità delle tecniche di social engineering e spear-phishing utilizzate dai gruppi nordcoreani, come dimostrato dal recente utilizzo del malware HappyDoor per colpire organizzazioni sudcoreane. La crescente consapevolezza globale di queste minacce rappresenta un segnale positivo verso una risposta coordinata e condivisa contro gli attacchi informatici sponsorizzati dagli stati.