La Corea del Nord sta recentemente sfruttando false chiamate Zoom potenziate dall’intelligenza artificiale per ingannare gli utenti del settore delle criptovalute e svuotare i loro portafogli in pochi minuti. Come può una semplice videoconferenza bastare per assumere il controllo totale dei vostri dispositivi e eludere la vigilanza anche dei più esperti?
Un programma su larga scala con l’obiettivo di rimpinguare i conti pubblici
Dall’inizio del 2020, la Corea del Nord sta conducendo un’operazione globale di infiltrazione nelle aziende grazie al suo esercito di «falsi telelavoratori» nell’ambito di un programma di generazione di entrate per il governo. Sembra che una parte di questa forza lavoro sia stata recentemente riassegnata a una campagna di ingegneria sociale completamente nuova, volta questa volta al settore delle criptovalute.
AVVISO (ANCORA UNA VOLTA)
Gli autori delle minacce della Corea del Nord stanno ancora prendendo di mira troppi di voi tramite le loro finte riunioni su Zoom / Teams.
Stanno prendendo il controllo dei vostri account Telegram -> utilizzandoli per prendere di mira tutti i vostri amici.
Hanno già rubato oltre 300 milioni di dollari con questo metodo.
Legga questo. Fermi il circolo vizioso. pic.twitter.com/tJTo9lkq0v
— Tay (@tayvano_) 13 dicembre 2025
Recentemente sono stati sottratti quasi 300 milioni di dollari, come spiega Taylor Monahan (meglio conosciuto con lo pseudonimo di Tayvano), ricercatore di sicurezza presso MetaMask.
La modalità operativa è piuttosto nota e documentata, poiché dal 2024 Microsoft Threat Intelligence monitora queste attività. L’autore dell’attacco inizia rubando un profilo coerente e legittimo in base all’obiettivo che intende colpire. Successivamente, crea un intero ecosistema digitale attorno a questo profilo rubato (messaggistica, social network, profili GitHub o LinkedIn) al fine di stabilire un’impronta digitale legittima.
L’intelligenza artificiale (IA) viene poi sfruttata per sovrapporre l’immagine del loro profilo di origine a immagini e video che servono ai loro scopi. Utilizzano inoltre VPN, VPS, servizi proxy e strumenti RMM per nascondere la loro geolocalizzazione e la loro vera identità digitale.
È quanto ci ha recentemente riferito Clarisse Hagège, fondatrice di Dfns, la quale ci ha confidato di essere stata bersaglio di un tentativo di intrusione condotto da tre hacker nordcoreani.
Sottolinea inoltre che il settore delle criptovalute costituisce un obiettivo privilegiato nella strategia della Corea del Nord. Ascoltate la nostra intervista completa nel nostro podcast:
I candidati devono fornire almeno 3 referenze relative ai loro precedenti impieghi. Spesso le persone dimenticano di farlo, ma funziona molto bene.
Una campagna di ingegneria sociale che sfrutta piattaforme come Teams o Zoom
Questa strategia viene oggi riutilizzata e orientata verso nuovi obiettivi. Come descrive Taylor Monahan, l’attacco ha origine dalla compromissione di un account Telegram legittimo. Questi account bersaglio sono spesso investitori in capitale di rischio o relatori, profili in grado di sfruttare il nostro pregiudizio di autorità.
Dopo aver analizzato meticolosamente la cronologia delle conversazioni della loro prima vittima per alimentare la propria copertura, sfruttano i contatti già stabiliti. Questi ultimi vengono indirizzati verso riunioni su Zoom o Teams tramite un link Calendly camuffato.
Attualità – La Corea del Nord sarebbe dietro l’attacco hacker da 30 milioni di dollari ai danni di Upbit
Nel video, la vittima interagisce con una registrazione riciclata di un podcast o di un’apparizione pubblica della figura autorevole; grazie a un uso intelligente dell’IA, il flusso video sembra legittimo.
L’autore dell’attacco simula quindi dei problemi audio o video. Chiede alla vittima di scaricare un SDK che gli consenta di ripristinare la connessione. Quest’ultimo distribuisce uno script dannoso, installando un malware sul computer del bersaglio. Questo trojan garantisce il controllo completo sul computer della vittima, fornendo accesso totale ai portafogli del bersaglio.
Rafforzare la sicurezza operativa e mantenere la vigilanza
Per proteggersi da questo tipo di minacce, è fondamentale disporre di un’autenticazione forte (password complessa) e multifattoriale (applicazioni MFA e 2FA) sulle proprie applicazioni di comunicazione.
È inoltre importante ricordare che durante una conversazione con il proprio interlocutore è necessario sapere chi sta scrivendo (autenticità), è necessario sapere che ciò che viene scritto non è stato alterato (integrità) e ci si deve assicurare che nessun altro venga a conoscenza di ciò che è stato scambiato (riservatezza).
Inoltre, non scarichi mai pacchetti di dati se non è certo della loro integrità e legittimità. In caso contrario, può aprirli in una macchina virtuale dedicata per verificarne il contenuto.
Infine, in caso di compromissione del Suo account Telegram, elimini il Suo spazio e avvisi i Suoi contatti per metterli in guardia e interrompere la catena di truffe.
Siate vigili e tenete presente che il vostro funzionamento antropologico vi espone a pregiudizi cognitivi (pregiudizio di autorità, pregiudizio di familiarità, pregiudizio di urgenza…). Quando questi vengono sfruttati, siete probabilmente una preda.