Nel vasto scenario delle minacce cyber, la Corea del Nord ha dimostrato una crescente abilità nel condurre operazioni digitali malevole, mettendo in atto attacchi informatici a livello globale.

Già dall’anno scorso la Corea del Sud aveva rilevato hacker nordcoreani che utilizzavano l’IA generativa per prendere di mira funzionari della sicurezza.

Più recentemente, si è avuta la conferma da parte di OpenAI e Microsoft nel loro ultimo report, “Staying ahead of threat actors in the age of AI” che hacker al servizio della Corea del Nord (ma anche di Paesi come Cina, Russia e Iran) hanno sfruttato i prodotti di intelligenza artificiale dell’azienda per supportare le proprie attività di cybercrime.

L’evoluzione della minaccia informatica ci insegna come combatterla

Il cybercrime nordcoreano ha adottato l’AI generativa

L’adozione dell’IA generativa da parte dei nordcoreani ha permesso loro di creare identità fittizie su siti di networking professionali o altre piattaforme di social media, oltre a supportarli nell’interazione con i target.

Infatti, in passato, le operazioni di phishing e social engineering di Pyongyang sono spesso state ostacolate dalla scarsa conoscenza dell’inglese, o del coreano parlato nella parte meridionale della penisola, da parte degli hacker nordcoreani.

I servizi AI come ChatGPT – ma non solo, dal momento che gli hacker nordcoreani hanno accesso anche a prodotti di matrice cinese – potrebbero anche aiutarli a sviluppare forme più sofisticate di malware in modo da introdursi nelle reti informatiche delle loro vittime.

Proventi delle attività malevoli per finanziare il programma nucleare

La notizia suscita preoccupazione soprattutto se messa in relazione al fatto che, come rilevato da esperti delle Nazioni Unite, i fondi raccolti dalle operazioni criminali cibernetiche nordcoreane starebbero contribuendo a finanziare i programmi di missili balistici e nucleari del paese.

Dall’inizio dei test nucleari nel 2006, le Nazioni Unite hanno imposto diverse sanzioni alla Corea del Nord per limitarne l’accesso alle fonti di finanziamento. Tuttavia, sembra che il regime stia cercando alternative.

Una ricerca del 2023 ha infatti rivelato che hacker collegati a Pyongyang stanno rubando centinaia di milioni di dollari in criptovalute per sostenere i programmi nucleari del regime.

Secondo TRM Labs, società specializzata nella sicurezza e conformità delle criptovalute e delle tecnologie blockchain, da gennaio ad agosto gli hacker nordcoreani hanno rubato criptovalute per un valore di 200 milioni di dollari, rappresentando oltre il 20% di tutte le cripto rubate globalmente nello stesso periodo di riferimento.

La società ha quindi suggerito che ciò potrebbe indicare un cambio di strategia, portando a una predilezione verso attacchi informatici come fonte di finanziamento per l’attività di proliferazione delle armi, abbandonando le “tradizionali attività generatrici di entrate”.

Nordcoreani protagonisti nel riciclaggio di criptovalute

L’uso delle criptovalute rubate per finanziare i programmi nucleari è stato confermato anche da esperti della società americana di analisi blockchain Chainalysis che, nel suo ultimo “Crypto Crime Report” analizza le attività illecite in ambito criptovalute.

In base a quanto riportato all’interno del documento, gli hacker nordcoreani emergono come protagonisti attivi nel campo del riciclaggio di criptovalute, attraverso l’utilizzo di prodotti noti come “mixer”. Il loro funzionamento prevede la ricezione di criptovalute provenienti da svariati utenti, mescolandole insieme e inviando a ciascun utente una quantità equivalente a quella da loro inizialmente fornita.

Ciò comporta che le cripto di ogni utente risultano rintracciabili solamente fino al mixer, rendendo difficile risalire alla loro fonte originale, a meno che non siano adottate specifiche tecniche di analisi della blockchain. “Blender.io”, il primo mixer ad essere sanzionato, nel 2022, è stato proprio utilizzato per il riciclaggio delle criptovalute rubate dal gruppo nordcoreano Lazarus, insieme agli analoghi “Tornado Cash” e “Sinbad”.

Chainalysis ha evidenziato come la maggioranza del valore illecito elaborato dai mixer è costituita da fondi rubati, una considerevole quota dei quali è stata sottratta da hacker collegati alla Corea del Nord.

Nel 2022, il valore delle criptovalute sottratte da gruppi legati al Paese ha raggiunto la cifra di 1,7 miliardi di dollari, più del triplo rispetto all’anno precedente.

Spionaggio, attività principale del cybercrime nordcoreano

L’accelerazione dei programmi nucleari e missilistici del paese attraverso i finanziamenti provenienti dalle criptovalute non sarebbe tuttavia l’unico obiettivo a cui punta la corea del Nord.

Un report diffuso dalla società di cyber-intelligence Recorded Future nel giugno 2023 riportava che lo scopo principale del programma cibernetico di Pyongyang è l’attività di spionaggio. Analizzando 273 attacchi cibernetici legati a gruppi sponsorizzati dallo stato nordcoreano in un periodo di 14 anni, gli analisti avevano rilevato che più del 70% di essi risultava motivato dalla raccolta di informazioni.

Lo scopo principale di Pyongyang sarebbe quindi non solo il finanziamento del proprio programma nucleare quanto anticipare le azioni dei suoi avversari o accedere a informazioni su tecnologie che possano essere utili in un conflitto.

Le entità governative sono i bersagli più frequenti, seguite da criptovalute, media, finanza, difesa e organizzazioni non governative. Il report evidenzia inoltre che la leadership nordcoreana è interessata a raccogliere informazioni utili per lo sviluppo di tecnologie nucleari e missilistiche e sottrarre denaro per finanziare il regime.

Nonostante l’attenzione unica verso le criptovalute, con il 50% del programma missilistico nordcoreano finanziato attraverso i cyber attacchi, il rapporto indica che circa l’80% degli attacchi cibernetici, per i quali sono disponibili dati geografici, ha avuto luogo in Asia.

In particolare, nei dintorni immediati della Corea del Nord. La Corea del Sud ha costituito la principale destinazione di oltre il 65% degli attacchi, considerando un totale di 29 paesi coinvolti nelle incursioni.

Gli Stati Uniti, pur rappresentando una percentuale significativa, si sono posizionati al secondo posto con un 8,5%, mentre nessun altro paese ha subito più del 3% degli attacchi perpetrati da gruppi legati a Pyongyang.

Le principali cyber gang nordcoreane e loro attività

Il rapporto di Recorded Future sottolinea che, nonostante il noto gruppo di hacking Lazarus sia associato al regime autoritario e miri principalmente a bersagli globali, non è il principale responsabile degli attacchi informatici di matrice nordcoreana.

Questo ruolo è ricoperto dal gruppo denominato Kimsuky, che contribuisce da solo a oltre un terzo del totale degli attacchi.

Secondo le agenzie di sicurezza statunitensi, gli hacker di Kimsuky si infiltrano assumendo l’identità di giornalisti sudcoreani, instaurando comunicazioni tramite email o messaggi privati sui social sotto la falsa pretesa di organizzare interviste.

Successivamente, inviano collegamenti o documenti contenenti un malware, noto come BabyShark, che consente loro di accedere ai dispositivi e alle comunicazioni delle vittime.

Come segnalato da Microsoft e OpenAI, se supportata da modelli linguistici sempre più sofisticati, questa tecnica potrebbe permettere ai cyber criminali di migliorare le proprie tecniche di attacco in modo da renderle sempre meno facili da individuare.

A questo si aggiunge il fatto che, oltre ad avere accesso a risorse straniere in ambito AI, la Corea del Nord sta anche investendo nei campi dell’intelligenza artificiale e dell’apprendimento automatico. Questo è quanto emerso da uno studio condotto dal James Martin Center for Nonproliferation Studies in California.

Il rapporto indica che gli sforzi recenti della Corea del Nord nello sviluppo di IA e machine learning rappresentano un investimento strategico per potenziare la sua economia digitale.

Pyongyang ha istituito l’Istituto di Ricerca sull’Intelligenza Artificiale nel 2013, e negli ultimi anni diverse aziende hanno promosso prodotti commerciali basati sull’IA, nonostante le restrizioni e il monitoraggio delle tecnologie di comunicazione nel Paese.

Alcuni ricercatori nordcoreani nel campo dell’IA hanno collaborato con studiosi stranieri, compresi quelli in Cina.

Durante la pandemia di COVID-19, la Corea del Nord ha utilizzato l’IA per sviluppare un modello per valutare l’uso corretto delle mascherine e prioritizzare gli indicatori clinici di infezione, ma gli scienziati nordcoreani hanno anche condotto ricerche sull’utilizzo dell’IA per garantire la sicurezza dei reattori nucleari.

@RIPRODUZIONE RISERVATA