Nel 2025, la Corea del Nord ha infranto ogni record precedente nel cybercrimine finanziario, con oltre 2 miliardi di dollari in criptovalute rubati in meno di un anno. Come ethical hacker e blogger informatico, non posso che analizzare questo evento con attenzione chirurgica: non si tratta solo di un furto, ma di una strategia geopolitica digitale che sfrutta le vulnerabilità sistemiche della blockchain, degli exchange e della sicurezza applicativa.
Un attacco pianificato, non un colpo di fortuna
Secondo l’analisi di Elliptic, società specializzata in tracciamento blockchain, oltre 30 attacchi sono stati attribuiti a gruppi legati a Pyongyang, in particolare al famigerato Lazarus Group. Questo collettivo, già noto per l’attacco a Sony Pictures e per il malware WannaCry, ha affinato le sue tecniche: spear phishing, exploit zero-day, compromissione di hot wallet e bridge DeFi.
Il dato più allarmante? Il 2025 non è ancora finito. Il bottino potrebbe crescere ulteriormente, superando ogni previsione. Il record precedente, 1,35 miliardi nel 2022, è stato ampiamente superato.
Come operano: ingegneria sociale + vulnerabilità tecniche
Gli attacchi non sono mai casuali. I gruppi nordcoreani adottano una metodologia ibrida:
- Ingegneria sociale avanzata: email personalizzate, profili LinkedIn fake, finti recruiter di aziende crypto.
- Compromissione di supply chain: targeting di sviluppatori o fornitori di librerie open source.
- Exfiltrazione silenziosa: una volta ottenuto l’accesso, i fondi vengono spostati in piccoli batch, spesso tramite mixer come Tornado Cash o bridge cross-chain.
- Riciclaggio sofisticato: uso di exchange decentralizzati, NFT e piattaforme P2P per offuscare la tracciabilità.
Come ethical hacker, riconosco in queste tecniche un’evoluzione delle TTP (Tactics, Techniques, and Procedures) classificate nel framework MITRE ATT&CK. Non si tratta di script kiddies, ma di APT (Advanced Persistent Threat) con risorse statali.
Perché le criptovalute?
La Corea del Nord è soggetta a sanzioni internazionali che limitano l’accesso al sistema finanziario globale. Le criptovalute rappresentano per il regime:
- Una fonte alternativa di valuta estera.
- Un mezzo per finanziare programmi nucleari e missilistici.
- Uno strumento per testare la resilienza delle infrastrutture digitali occidentali.
Secondo Elliptic, dal 2017 ad oggi Pyongyang ha rubato almeno 6 miliardi di dollari in crypto. È una guerra asimmetrica, combattuta a colpi di exploit e chiavi private.
Cosa possiamo imparare (e fare)
Come professionisti della sicurezza e divulgatori, abbiamo il dovere di trarre lezioni operative da questi eventi:
- Segmentazione dei wallet: mai tenere tutto in hot wallet. Cold storage con multi-sig è essenziale.
- Monitoraggio comportamentale: l’analisi delle anomalie nei pattern di transazione può anticipare movimenti sospetti.
- Threat intelligence condivisa: le community devono collaborare per tracciare wallet sospetti e IOC (Indicators of Compromise).
- Formazione continua: il fattore umano resta il vettore d’attacco principale. La security awareness non è opzionale.
Ulteriori dettagli specifici:
Questo caso dimostra che la sicurezza blockchain non è intrinseca, ma dipende dall’implementazione. Smart contract vulnerabili, bridge mal progettati e interfacce utente ingannevoli sono il vero tallone d’Achille.
Come blogger e tecnico, invito chi lavora nel settore crypto a non farsi sedurre dalla narrativa dell’infallibilità decentralizzata. La sicurezza è un processo, non una proprietà. E in un mondo dove attori statali sfruttano ogni bug come arma geopolitica, l’unica difesa è la trasparenza, la collaborazione e la resilienza tecnica.