La Corea del Nord sta recentemente sfruttando false chiamate Zoom potenziate dall’intelligenza artificiale per intrappolare profili del settore delle criptovalute e svuotare i loro portafogli in pochi minuti. Come può una semplice videoconferenza essere sufficiente per assumere il controllo totale dei vostri dispositivi e aggirare la vigilanza dei più esperti?
Un programma su larga scala con l’obiettivo di riempire le casse pubbliche
Dall’inizio del 2020, la Corea del Nord sta conducendo un’operazione globale di infiltrazione nelle aziende grazie al suo esercito di “falsi telelavoratori” nell’ambito di un programma di generazione di entrate per il governo. Sembra che una parte di questa forza lavoro sia stata recentemente riassegnata a una nuova campagna di ingegneria sociale, questa volta rivolta al settore delle criptovalute.
🚨 AVVISO (ANCORA UNA VOLTA)
Gli autori delle minacce della Corea del Nord stanno ancora danneggiando troppe persone tramite le loro false riunioni su Zoom / Teams.
Stanno prendendo il controllo dei vostri Telegram -> e li stanno usando per danneggiare tutti i vostri amici.
Hanno già rubato oltre 300 milioni di dollari con questo metodo.
Leggete questo. Fermate il ciclo. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 dicembre 2025
Recentemente sono stati rubati quasi 300 milioni di dollari, spiega Taylor Monahan (meglio conosciuto con lo pseudonimo di Tayvano), ricercatore di sicurezza presso MetaMask.
Il modus operandi è abbastanza noto e documentato, poiché dal 2024 Microsoft Threat Intelligence osserva queste attività. L’aggressore inizia rubando un profilo coerente e legittimo in base all’obiettivo che intende colpire. Quindi crea un intero ecosistema digitale attorno a questo profilo rubato (messaggistica, social network, profili GitHub o LinkedIn) al fine di stabilire un’impronta digitale legittima.
L’intelligenza artificiale (IA) viene quindi utilizzata per apporre l’immagine del profilo di origine su immagini e video che servono ai loro scopi. Utilizzano anche VPN, VPS, servizi proxy e strumenti RMM per nascondere la loro geolocalizzazione e la loro vera identità digitale.
Questo è quanto ci ha recentemente riferito Clarisse Hagège, fondatrice di Dfns, che ci ha confidato di essere stata vittima di un tentativo di intrusione da parte di 3 hacker nordcoreani.
Sottolinea inoltre che il settore delle criptovalute costituisce un obiettivo privilegiato nella strategia della Corea del Nord. Ascoltate la nostra intervista completa nel nostro podcast:
I candidati devono fornire almeno 3 referenze sui loro precedenti impieghi. La gente dimentica di farlo, ma funziona molto bene.
Una campagna di ingegneria sociale che sfrutta piattaforme come Teams o Zoom
Questa strategia viene oggi riutilizzata e orientata verso nuovi obiettivi. Come descrive Taylor Monahan, l’attacco ha origine dalla corruzione di un account Telegram legittimo. Questi account target sono spesso investitori di capitale di rischio o relatori, profili che possono sfruttare il nostro pregiudizio di autorità.
Dopo aver analizzato attentamente la cronologia delle conversazioni della loro prima vittima per alimentare la loro leggenda, sfruttano i contatti già stabiliti. Questi ultimi vengono indirizzati a riunioni Zoom o Teams tramite un link Calendly camuffato.
🇰🇵 Attualità – La Corea del Nord sarebbe dietro l’hacking da 30 milioni di dollari di Upbit
Nel video, la vittima interagisce con una registrazione riciclata di un podcast o di un’apparizione pubblica della persona autorevole, grazie a un intelligente sfruttamento dell’IA, il flusso video sembra legittimo.
L’aggressore simula quindi dei problemi audio o video. Chiede alla vittima di scaricare un SDK che gli consenta di ripristinare la connessione. Quest’ultimo distribuisce uno script dannoso, installando un malware sul computer del bersaglio. Questo trojan garantisce il controllo completo sul computer della vittima, dando accesso totale ai portafogli del bersaglio.
Rafforzare la sicurezza operativa e prestare attenzione
Per proteggersi da questo tipo di minacce, è fondamentale disporre di un’autenticazione forte (password complessa) e multifattoriale (applicazione MFA e 2FA) sulle vostre applicazioni di comunicazione.
È inoltre importante ricordare che durante una conversazione con il vostro interlocutore dovete sapere chi vi sta scrivendo (autenticità), dovete sapere che ciò che vi sta scrivendo non è stato alterato (autenticità) e dovete assicurarvi che nessun altro sia a conoscenza di ciò che vi siete scambiati (riservatezza).
Inoltre, non scaricate mai pacchetti di dati se non siete certi della loro integrità e legittimità. In caso contrario, potete aprirli in una macchina virtuale dedicata per verificarne il contenuto.
Infine, in caso di compromissione del tuo account Telegram, elimina il tuo spazio e avvisa i tuoi contatti per metterli in guardia e interrompere la catena di truffe.
Siate vigili e tenete presente che il vostro funzionamento antropologico vi espone a pregiudizi cognitivi (pregiudizio di autorità, pregiudizio di familiarità, pregiudizio di urgenza…). Quando questi vengono sfruttati, probabilmente ne sarete vittime.
