Oleksandr Didenko è stato condannato a 60 mesi di prigione per aver venduto 871 identità rubate a lavoratori IT legati alla Corea del Nord, consentendo infiltrazioni in 40 aziende statunitensi tra California e Pennsylvania. Il caso, coordinato dall’ufficio di New York dell’FBI, si intreccia con le attività del gruppo Lazarus e con l’operatività di Famous Chollima (WageMole), rete che utilizza identità compromesse e strumenti AI per penetrare nel tessuto industriale americano. La sentenza include 12 mesi di libertà vigilata e la confisca di oltre 1,28 milioni di euro tra contanti e criptovalute. La vicenda non è solo una frode identitaria su larga scala, ma un caso esemplare di infiltrazione ibrida nel mercato del lavoro IT, con implicazioni dirette per la sicurezza nazionale USA, la protezione dei dati aziendali e il finanziamento del regime nordcoreano.
Didenko, UpWorkSell e la filiera delle identità rubate
Oleksandr Didenko, 39 anni, originario di Kyiv, ha ammesso la propria responsabilità nel novembre 2025 per furto aggravato di identità e cospirazione per frode telematica, dopo l’arresto avvenuto in Polonia nel maggio 2024. Secondo i documenti giudiziari, l’imputato ha sottratto identità di cittadini statunitensi e le ha vendute a lavoratori IT esteri tramite una piattaforma online denominata UpWorkSell, successivamente sequestrata dal Dipartimento di Giustizia. L’operazione non si limitava alla vendita di documenti e credenziali. Didenko ha creato e gestito account proxy su tre piattaforme di assunzione freelance IT, fornendo identità digitali complete, complete di profili professionali, documentazione e accessi verificati. In questo modo i candidati nordcoreani potevano superare le verifiche preliminari e ottenere contratti ad alto valore economico. Il risultato è stato un accesso sistematico e non autorizzato al mercato del lavoro tecnologico statunitense, con contratti in 40 aziende USA, molte delle quali ignare di assumere personale collegato a un regime sanzionato.
Le laptop farm e la simulazione geografica
Uno degli elementi più sofisticati dello schema è stato l’uso di almeno otto “laptop farm” distribuite tra Virginia, Tennessee, California, Florida, Ecuador, Polonia e Ucraina. Queste strutture permettevano di simulare la presenza fisica negli Stati Uniti. I dispositivi utilizzati dai lavoratori nordcoreani risultavano localizzati sul territorio americano, eludendo controlli di geolocalizzazione e sistemi antifrode aziendali. Una delle laptop farm era gestita da Christina Marie Chapman, 50 anni, residente in Arizona, che ha operato tra ottobre 2020 e ottobre 2023 direttamente dalla propria abitazione. Arrestata nel maggio 2024, ha ammesso la colpevolezza nel luglio 2025 ed è stata condannata a 102 mesi di reclusione. Le laptop farm rappresentano un’evoluzione tattica rilevante: non solo identità rubate, ma infrastrutture fisiche dedicate a rendere credibile l’illusione di un lavoratore statunitense. Questo approccio crea backdoor operative nelle reti aziendali, con accesso diretto a repository di codice, infrastrutture cloud e dati sensibili.
Il ruolo dell’FBI e l’impatto sulla sicurezza nazionale
L’FBI ha iniziato ad avvertire pubblicamente dal 2023 sul rischio di attori nordcoreani che impersonano personale IT americano. L’assistente direttore dell’ufficio di New York, James Barnacle, ha sottolineato come lo schema abbia sottratto identità a centinaia di persone per alimentare un meccanismo che finanzia un “regime avversario”. La condanna di Didenko si inserisce in un quadro più ampio di enforcement. Nel luglio 2024, le autorità statunitensi hanno sanzionato o incriminato 20 individui e 8 aziende in tre ondate distinte. Una quarta ondata di sanzioni, nell’agosto 2025, ha colpito reti operative con collegamenti russi e cinesi coinvolte in schemi analoghi. Il caso evidenzia come l’infiltrazione non sia solo un problema di compliance lavorativa, ma una questione di sicurezza strategica, poiché i proventi generati dai contratti IT contribuiscono al finanziamento dei programmi militari nordcoreani, inclusi quelli missilistici.
Famous Chollima, Lazarus e l’uso dell’AI per ingannare i recruiter
Nel dicembre 2025, ricercatori di sicurezza hanno rivelato come operativi riconducibili a Famous Chollima, noto anche come WageMole, parte dell’ecosistema Lazarus, abbiano utilizzato strumenti basati su intelligenza artificiale per perfezionare le proprie operazioni. L’AI è stata impiegata per generare profili credibili, simulare interazioni professionali e sostenere colloqui tecnici, aumentando le probabilità di assunzione in aziende anche di livello Fortune 500. Questa evoluzione dimostra come lo schema di Didenko non fosse un episodio isolato, ma parte di un modello operativo più ampio, in cui identità rubate, infrastrutture fisiche distribuite e tecnologie avanzate convergono in un sistema strutturato e persistente.
Confisca da 1,28 milioni di euro e conseguenze economiche
La sentenza ha disposto la confisca di oltre 1,28 milioni di euro, comprendenti contanti e criptovalute sequestrate a Didenko e ai suoi complici. La dimensione finanziaria del caso dimostra la redditività dello schema. I contratti IT ottenuti attraverso identità false generavano entrate significative, reinvestite in ulteriori operazioni o trasferite verso circuiti legati al regime nordcoreano. Il sequestro di asset e la chiusura di UpWorkSell rappresentano un colpo diretto alla logistica economica dell’operazione, ma le autorità sottolineano che il fenomeno rimane dinamico e in evoluzione.
Mercato freelance esposto e nuove verifiche identitarie
Il caso mette in luce una vulnerabilità strutturale del mercato freelance tecnologico. Le piattaforme di assunzione online, pur dotate di sistemi di verifica, possono essere aggirate attraverso combinazioni di identità rubate, VPN, proxy e laptop farm. Le aziende colpite hanno avviato rafforzamenti nei processi di background check, verifiche documentali multilivello e controlli di coerenza tra identità digitale e presenza fisica. La lezione operativa è chiara: l’infiltrazione nel lavoro remoto rappresenta una nuova frontiera della guerra ibrida, dove il perimetro non è solo la rete aziendale, ma l’intero ecosistema di reclutamento.
Un modello di infiltrazione che evolve
La condanna di Oleksandr Didenko rappresenta un precedente giudiziario importante, ma non segna la fine del fenomeno. Le autorità statunitensi riconoscono che la Corea del Nord mantiene un ampio apparato di lavoratori IT organizzati, capaci di adattarsi rapidamente a nuove misure di controllo. L’integrazione di AI generativa, infrastrutture distribuite e identità sintetiche apre scenari in cui la linea tra candidato legittimo e operatore ostile diventa sempre più sottile. Il caso dimostra come la sicurezza del mercato del lavoro tecnologico sia oggi parte integrante della difesa nazionale. Non si tratta solo di prevenire una frode, ma di impedire che competenze e accessi strategici vengano sfruttati per alimentare interessi ostili.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
