Gli Stati Uniti avviano una delle più vaste operazioni di contrasto alle minacce cyber provenienti da Corea del Nord e Cina, colpendo simultaneamente reti criminali, intermediari e organizzazioni statali che sfruttano frodi digitali e lavoro remoto per finanziare attività illecite. Il Dipartimento di Giustizia (DOJ) annuncia infatti due azioni parallele: da un lato, le condanne di cinque individui che hanno facilitato l’infiltrazione di lavoratori IT nordcoreani in aziende statunitensi; dall’altro, la creazione della Scam Center Strike Force, una nuova task force dedicata alla repressione delle frodi crypto gestite da gruppi cinesi nel Sudest asiatico. Le indagini mostrano un’architettura finanziaria transnazionale che combina furti di identità, esfiltrazioni di dati aziendali e truffe digitali multimiliardarie, con un impatto diretto sulla sicurezza economica americana e globale.
Cosa leggere
Colpevoli per aiuti a infiltrazioni nordcoreane
Il DOJ ha annunciato la condanna di Oleksandr Didenko, Erick Ntekereze Prince, Audricus Phagnasay, Jason Salazar e Alexander Paul Travis per frode telematica e furto d’identità aggravato, connessi a un complesso schema che ha permesso a centinaia di lavoratori IT nordcoreani di ottenere impieghi remoti in oltre 136 aziende statunitensi. I cinque imputati, tra cui quattro cittadini americani e un ucraino, fornivano identità rubate o falsificate attraverso piattaforme di collocamento, consentendo agli agenti della DPRK di lavorare a distanza come sviluppatori o consulenti. L’indagine ha dimostrato che questi impieghi remoti generavano flussi di denaro diretti al regime di Pyongyang, con guadagni complessivi superiori a 2 milioni di euro. Secondo i pubblici ministeri, tali fondi alimentavano il programma missilistico e nucleare nordcoreano, aggirando le sanzioni internazionali. Didenko ha ammesso di aver sottratto identità americane e di averle rivendute su una piattaforma denominata UpWorkSell, successivamente sequestrata dal DOJ. Prince, tramite la società Taggcar Inc., ha collocato falsi lavoratori in 64 aziende USA, guadagnando circa 81.600 euro e causando danni diretti superiori a 864.000 euro. Phagnasay, Salazar e Travis hanno partecipato allo stesso schema tra il 2019 e il 2022, ottenendo profitti minori ma contribuendo a perdite complessive di 1,17 milioni di euro. Il Dipartimento di Giustizia ha inoltre sequestrato 1,28 milioni di euro tra valute fiat e criptovalute, incluse somme provenienti da APT38, gruppo affiliato al Lazarus Group nordcoreano. Questi hacker avevano già rubato 350 milioni di euro da piattaforme crypto in Panama, Estonia e Seychelles, evidenziando la sinergia tra attività cybercriminali e frodi IT remote.
Metodi di infiltrazione nordcoreana in aziende statunitensi
Gli attori nordcoreani utilizzano una tattica consolidata basata sul furto d’identità americana per ottenere posizioni lavorative legittime in aziende statunitensi. I facilitatori acquistano o rubano documenti di cittadini USA, inclusi Social Security Number e carte d’identità, e li rivendono a sviluppatori IT del regime. I lavoratori della DPRK fingono di essere residenti americani, utilizzano VPN commerciali per simulare connessioni dagli Stati Uniti e ottengono contratti presso aziende tecnologiche e finanziarie. Una volta impiegati, questi operatori non solo trasferiscono i loro stipendi al regime di Kim Jong-un, ma in alcuni casi inseriscono malware e backdoor nelle reti aziendali, sottraendo segreti industriali e dati di clienti. Le investigazioni hanno mostrato come le aziende, spesso attratte dalla flessibilità del lavoro remoto, abbiano saltato verifiche d’identità video o biometriche, permettendo così la penetrazione silenziosa di agenti nordcoreani nei loro sistemi. La pandemia e l’espansione del remote work hanno fornito terreno fertile per questa strategia, creando vulnerabilità sistemiche in assenza di controlli strutturati. I guadagni ottenuti da tali operazioni sono poi stati convertiti in criptovalute e lavati tramite mixer e exchange offshore, riducendo la tracciabilità e finanziando nuove operazioni cyber.
Impatto finanziario e strategico delle operazioni DPRK
Gli schemi di infiltrazione hanno prodotto oltre 2 milioni di euro di profitti per la Corea del Nord, con danni diretti a 136 aziende americane. I soli tre facilitatori Phagnasay, Salazar e Travis hanno causato perdite di 1,17 milioni di euro, mentre Prince ha generato danni per 864.000 euro. Il DOJ ha confiscato 1,28 milioni di euro in contanti e asset digitali collegati alle attività, oltre a 13,75 milioni di euro derivanti da operazioni crypto di APT38. Le autorità sottolineano come le frodi IT e i furti di criptovalute rappresentino una nuova forma di finanziamento statale per la Corea del Nord, che ha trovato nel cyberspazio un mezzo per compensare l’isolamento economico e le sanzioni internazionali. Le conseguenze si estendono alla sicurezza nazionale: l’inserimento di operatori nordcoreani in aziende sensibili espone infrastrutture critiche e settori strategici a potenziali attacchi futuri. Il governo statunitense ha risposto creando una task force interagenzia per contrastare la generazione illecita di entrate nordcoreane, con il coinvolgimento di FBI, Treasury, Homeland Security e partner internazionali.
La nuova task force USA contro gli scam crypto cinesi
Parallelamente, Washington ha lanciato la Scam Center Strike Force, una forza congiunta del DOJ, dell’FBI, del Secret Service e di altre agenzie federali. Il suo obiettivo è smantellare le reti di frodi crypto gestite da gruppi cinesi, responsabili di perdite stimate in 9,17 miliardi di euro solo nel 2024, pari a un aumento del 66% rispetto all’anno precedente. Le indagini rivelano che i gruppi criminali cinesi operano attraverso compound in Cambogia, Laos e Birmania, dove sfruttano lavoratori vittime di traffico umano costretti a condurre operazioni di truffa 24 ore su 24. Le attività comprendono pig butchering e romance baiting, due tecniche che sfruttano la fiducia delle vittime tramite interazioni prolungate sui social media e app di dating. Le operazioni della task force hanno portato al sequestro di 367 milioni di euro in criptovalute e all’avvio di procedimenti per ulteriori 73 milioni di euro, oltre alla confisca record di 13,75 miliardi di euro in bitcoin da parte del Prince Group, un network cinese coinvolto in operazioni di riciclaggio e truffe crypto globali. Il Dipartimento del Tesoro ha inoltre imposto sanzioni contro la Democratic Karen Benevolent Army (DKBA) e diverse società collegate, tra cui le tailandesi Trans Asia e Troth Star, nonché dodici aziende in Cambogia e Birmania accusate di traffico umano e riciclaggio di fondi provenienti da scam online.
Tecniche di pig butchering e romance baiting
Le indagini rivelano che i gruppi cinesi sviluppano truffe sempre più sofisticate, combinando ingegneria sociale e tecnologia AI. Nel pig butchering, gli scammer instaurano un rapporto di fiducia con le vittime, inducendole a investire gradualmente in piattaforme crypto false che simulano guadagni reali fino al momento del collasso, quando i fondi vengono completamente sottratti. Nel romance baiting, invece, le vittime vengono coinvolte emotivamente in relazioni simulate con finti partner, che le convincono a inviare denaro o investire in progetti crypto inesistenti. Molte di queste operazioni sono condotte da lavoratori forzati reclutati in modo ingannevole e poi trattenuti contro la loro volontà nei compound. Le autorità americane hanno documentato l’uso di chatbot basati su AI per condurre conversazioni credibili, aumentare la persuasione e ridurre i sospetti. I fondi vengono poi trasferiti attraverso mixer, exchange decentralizzati e wallet cinesi, rendendo difficile il recupero. Tuttavia, la nuova Strike Force ha intensificato le attività di tracciamento on-chain, congelando numerosi wallet e interrompendo diversi flussi finanziari.
Azioni coordinate e sequestri
Le operazioni del DOJ hanno colpito una rete estesa di scammer, finanziatori e organizzazioni paramilitari coinvolte nei traffici. Oltre ai sequestri crypto da 367 milioni di euro, le autorità hanno avviato azioni legali su 73 milioni di euro di fondi e confiscato proprietà fisiche e server. La collaborazione con governi asiatici ha permesso di smantellare compound criminali e liberare vittime del traffico umano. La OFAC ha congelato gli asset di Chamu Sawang, un noto facilitatore finanziario della DKBA, e imposto misure restrittive su dodici aziende cambogiane e birmane che gestivano piattaforme di trading fraudolente. Il Secret Service ha ricevuto oltre 3000 segnalazioni di vittime nel solo anno fiscale 2025, con un incremento costante del fenomeno. Gli Stati Uniti puntano a consolidare la cooperazione internazionale per disarticolare le infrastrutture cybercriminali, promuovendo anche campagne di awareness pubblica per ridurre la vulnerabilità degli utenti.
Implicazioni per la cybersecurity globale
Le due operazioni simultanee rappresentano un punto di svolta nella strategia cyber americana. Da un lato, la lotta alle infiltrazioni IT nordcoreane dimostra la necessità di verifiche d’identità più rigorose nel lavoro remoto; dall’altro, la task force anti-scam cinese evidenzia come la finanza decentralizzata sia diventata terreno di conquista per reti criminali globali. L’impatto economico e geopolitico è significativo: la DPRK continua a eludere le sanzioni internazionali, mentre le truffe crypto orchestrate dalla Cina generano flussi di capitale illeciti che minano la fiducia dei mercati. Gli Stati Uniti rispondono rafforzando cooperazione intergovernativa, tracciamento blockchain e sanzioni mirate, mentre le aziende private investono in intelligenza artificiale per il rilevamento delle frodi e nel potenziamento della sicurezza delle supply chain digitali. Le implicazioni si estendono anche all’Europa, dove schemi simili iniziano a emergere. La lezione americana mostra che la cybersecurity moderna deve coniugare diplomazia, tecnologia e intelligence, contrastando minacce ibride che uniscono criminalità organizzata e attori statali.
