Ultimora

Gli attacchi informatici della Corea del Nord continuano a dimostrare l’importanza strategica della guerra cibernetica e il ruolo centrale che le operazioni nel cyberspazio rivestono oggi. Pyongyang, attraverso gruppi di hacker sponsorizzati dallo Stato, ha condotto attacchi di alto profilo contro infrastrutture critiche, sistemi finanziari e reti di difesa, finanziando così le proprie attività militari mediante furti informatici.
Alcuni giorni fa, secondo un rapporto della società di analisi blockchain Chainalysis, la Corea del Nord ha perfezionato le sue operazioni di hacking di criptovalute, effettuando attacchi meno numerosi ma molto più redditizi contro obiettivi importanti e impiegando tecniche di riciclaggio sempre più sofisticate per eludere i sistemi di rilevamento.
In un'anteprima del suo rapporto Crypto Crime 2026, Chainalysis ha rivelato che nel 2025 gli hacker nordcoreani hanno sottratto la cifra record di 2,02 miliardi di dollari in criptovalute. L’aumento del 51% rispetto all'anno precedente evidenzia la crescente dipendenza del regime dai furti digitali per aggirare le sanzioni globali e finanziare le priorità statali.

Hacker con la bandiera nordcoreana sullo sfondo. (Getty Images)

Gli agenti informatici di Pyongyang sarebbero responsabili di circa tre quarti di tutte le principali compromissioni di servizi crittografici nel 2025, nonostante un calo del numero totale di incidenti.
Chainalysis descrive inoltre il modus-operandi adottato dai gruppi nordcoreani nella fase successiva al furto. Invece di trasferire ingenti somme in un’unica operazione, gli hacker suddividono spesso i fondi rubati in blocchi più piccoli verso più indirizzi, complicando gli sforzi di monitoraggio da parte delle autorità e degli exchange. I dati on-chain di Chainalysis mostrano che oltre il 60% dei movimenti riconducibili alla Corea del Nord riguardano trasferimenti inferiori a 500.000 dollari, un modello in netto contrasto con quello adottato da altri attori criminali.
Secondo quanto riportato, il 22 dicembre scorso, dall’agenzia di stampa sudcoreana, Yonhap, un gruppo di hacker nordcoreano sembra aver lanciato una nuova campagna di attacchi informatici, nome in codice "Artemis", che prevede l’inserimento di un codice dannoso all’interno di file digitali.
Il Genians Security Center (GSC), istituto di sicurezza informatica sudcoreano, ha dichiarato di aver individuato l'operazione, che si ritiene sia stata condotta da APT37, un gruppo di spionaggio informatico sostenuto da Pyongyang e attivo almeno dal 2012. APT37, ha preso di mira principalmente obiettivi in Corea del Sud, ma anche in Giappone, Vietnam, Russia, Nepal, Cina, India, Romania, Kuwait e in diverse aree del Medio Oriente.
I risultati seguono un rapporto dell’ottobre scorso di 38 North, un sito web statunitense specializzato nel monitoraggio della Corea del Nord, secondo cui gli operatori informatici nordcoreani hanno ripetutamente sfruttato il formato HWP (Hangul Word Processor) - un formato di file di proprietà sudcoreana per documenti di testo - per infiltrarsi nelle reti governative, militari e industriali strategiche in Corea del Sud. Secondo i risultati delle ricerche del GSC, gli autori della minaccia hanno utilizzato lo spear phishing, inviando e-mail, fingendosi autori di programmi televisivi coreani, per organizzare casting o interviste. Il gruppo continua a perfezionare le proprie capacità attraverso l’impiego di metodi tecnici avanzati.
Inoltre, secondo quanto riportato dal Korea Herald, l'unità di hacking sostenuta dallo Stato nordcoreano, Lazarus Group, è stata indicata come uno dei principali sospettati dell'attacco hacker di criptovalute da circa 45 miliardi di won (30,7 milioni di dollari) a Upbit, il principale exchange di asset virtuali della Corea del Sud. Il 28 novembre scorso, le autorità hanno avviato un'ispezione in loco presso Upbit dichiarando di sospettare fortemente il coinvolgimento del gruppo. Il giorno precedente, la piattaforma aveva subito un massiccio attacco hacker, con una perdita stimata di 44,5 miliardi di won in asset basati su Solana.
Come riportato in un articolo di Bassanonet.it dello scorso anno, Pyongyang avrebbe la capacità di contrastare efficacemente le dure sanzioni economiche attraverso operazioni informatiche, raccogliendo centinaia di milioni di dollari grazie a unità cibernetiche specializzate.
Il Reconnaissance General Bureau (RGB), fondato nel 2009, è diventato il principale servizio di intelligence estero nordcoreano, nonché il quartier generale per le operazioni speciali e informatiche. L’RGB ha assorbito l'unità di élite 121, e ha elevato il suo status a quello di “dipartimento”.
Sebbene le dimensioni esatte del Bureau 121 non siano note, esso è composto da alcuni dei migliori specialisti informatici del Paese.
Nel 2013, l'RGB avrebbe istituito anche l'Unità 180, incaricata di colpire le istituzioni finanziarie internazionali per ottenere valuta estera. L’unità avrebbe installato backdoor malevoli in aziende di sviluppo software in Giappone e Cina. Nel corso degli anni, l'attenzione dell'Unità 180 si è spostata verso gli scambi di criptovalute, mentre il Bureau 121 ha esteso le sue operazioni informatiche oltre la Corea del Sud, prendendo di mira infrastrutture critiche a livello globale.