Secondo un rapporto di Mandiant, l’unità di Google specializzata in cybersecurity, diverse aziende della prestigiosa lista Fortune 100 hanno inconsapevolmente assunto lavoratori nordcoreani che utilizzano identità false. Lo schema viene usato dal regime di Pyongyang per ottenere valuta estera e, potenzialmente, compromettere la sicurezza delle aziende tecnologie coinvolte.

Il gruppo di criminali, identificato come UNC5267, è attivo dal 2018 e ha orchestrato uno schema sofisticato in cui i lavoratori, inviati dal governo nordcoreano, operano principalmente da Cina e Russia, con presenze minori in Africa e nel Sud-est asiatico.

Un enorme rischio per la sicurezza

Questi lavoratori spesso ottengono accesso privilegiato a sistemi aziendali, permettendo loro di modificare codici e gestire reti interne, aumentando i rischi per la sicurezza informatica. Assunti come consulenti da remoto, i lavoratori utilizzano identità rubate o fittizie e sono coinvolti in ruoli complessi in vari settori.

Grazie alla possibilità di lavorare completamente da remoto, spesso i nordcoreani riescono a farsi assumere da più aziende simultaneamente, accumulando in questo modo più stipendi, che poi versano al loro governo. Alcune aziende impongono ai lavoratori di essere residenti negli USA, un ostacolo che verrebbe aggirato grazie all’uso di un intermediario con sede negli Stati Uniti che gestisce una laptop farm, a cui i criminali nordcoreani accedono via VPN.

Il lancio del satellite della Corea del Nord si conclude con un completo fallimento Il lancio del satellite della Corea del Nord si conclude con un completo fallimento

Spesso gli indizi sono palesi

A volta il raggiro non è particolarmente sofisticato e le aziende riescono ad accorgersi rapidamente di alcune anomalie. I lavoratori nordcoreani, usando identità false, sono molto raramente disposti a partecipare alle videoconferenze. Inoltre la qualità del loro lavoro è spesso inferiore a quella dei colleghi, cosa che – presto o tardi – ne porta al licenziamento. Alcune delle aziende coinvolte nell’indagine, hanno spiegato di aver ricevuto curriculum sospetti: ad esempio perché scritti in un pessimo inglese, o perché rimandavano a pagine LinkedIn di persone “palesemente inventate”, oppure con dati incongruenti, come residenza negli USA ma un cursus studiorum svolto quasi interamente in Asia, tra Singapore, Hong Kong e Giappone.

Sarebbe proprio l’uso di credenziali accademiche straniere a facilitare la truffa. Mediant sostiene che le aziende americane non controllino quasi mai i titoli di studio conseguiti fuori dal Nord America, anche perché spesso è molto complicato, se non virtualmente impossibile.