Il fenomeno dei lavoratori IT nordcoreani che si infiltrano nelle aziende occidentali ha superato ogni aspettativa, estendendosi ben oltre il settore tecnologico per raggiungere ambiti considerati fino a poco tempo fa impensabili. Una nuova ricerca di Okta Threat Intelligence ha rivelato come questi truffatori stiano ora prendendo di mira con crescente intensità ospedali, banche e servizi sanitari, settori dove l'accesso a dati sensibili può trasformarsi in un'arma micidiale. La strategia si è evoluta da semplice frode occupazionale a sofisticata operazione di intelligence economica, con ramificazioni che toccano la sicurezza nazionale di diversi paesi occidentali.
Oltre la Silicon Valley: la nuova geografia del rischio
I numeri emersi dalla ricerca dipingono un quadro allarmante: quasi la metà delle aziende colpite, precisamente il 48%, opera al di fuori del tradizionale comparto IT. Gli investigatori di Okta hanno tracciato oltre 130 identità riconducibili a facilitatori e lavoratori coinvolti nel sistema, collegandole a più di 6.500 colloqui iniziali presso oltre 5.000 aziende diverse dal 2021 a metà 2025. La portata reale del fenomeno potrebbe essere molto più ampia, avvertono i ricercatori, sottolineando come questi dati rappresentino probabilmente solo "un piccolo campione dell'attività totale".
Charles Carmakal, CTO di Mandiant Consulting, ha confermato la gravità della situazione affermando che "quasi ogni CISO di un'azienda Fortune 500" con cui ha parlato deve affrontare problemi legati a lavoratori IT nordcoreani. La geografia del rischio si è inoltre espansa: mentre il 73% dei casi riguarda ancora aziende americane, il 27% coinvolge ora organizzazioni di altri paesi, con un trend crescente verso l'Europa.
Sanità nel mirino: quando la salute diventa un bersaglio
Particolarmente preoccupante è l'interesse mostrato dai truffatori verso il settore sanitario e medico-tecnologico. Okta ha identificato circa 85 colloqui quest'anno in questo ambito, concentrati principalmente su sviluppo di applicazioni mobile, sistemi di assistenza clienti e piattaforme di archiviazione elettronica. La scelta non è casuale: questi ruoli forniscono accesso potenziale a informazioni personali sensibili, flussi di lavoro clinici e infrastrutture sanitarie critiche.
Il parallelo con gli attacchi ransomware che colpiscono regolarmente ospedali e strutture sanitarie non è una coincidenza. I dati medici rappresentano oggi una delle forme più preziose di informazione personale, e le organizzazioni sanitarie si dimostrano spesso più propense a cedere a richieste di estorsione pur di proteggere la privacy dei pazienti.
L'ascesa dell'intelligenza artificiale come nuovo El Dorado
Dal 2023, i ricercatori hanno documentato un "aumento marcato" dei colloqui presso organizzazioni legate all'intelligenza artificiale, con 50 interviste registrate solo quest'anno.
Sebbene parte di questo incremento rifletta semplicemente il boom generale delle assunzioni nel settore AI, la natura strategica di questi dati li rende particolarmente appetibili per operazioni di spionaggio industriale. L'accesso a dati di training dei modelli e algoritmi proprietari può fornire vantaggi competitivi inestimabili a livello nazionale.
Finanza e servizi: l'evoluzione tattica del raggiro
Il settore finanziario non è rimasto immune da questa strategia. Banche tradizionali, compagnie assicurative, fintech e organizzazioni di criptovalute stanno tutti affrontando tentativi di infiltrazione. Significativamente, i ruoli presi di mira si sono espansi oltre lo sviluppo software per includere posizioni di back-office e elaborazione finanziaria in aree come buste paga e contabilità.
Questa evoluzione tattica dimostra una comprensione sofisticata delle dinamiche aziendali da parte degli operatori nordcoreani. Come osserva Okta, esistono altri tipi di mansioni, oltre all'ingegneria software, che offrono opportunità simili: l'entità bersaglio deve essere disposta ad assumere da remoto, e il lavoratore nordcoreano deve essere in grado di dimostrare competenze sufficienti per svolgerla.
Mentre l'obiettivo primario rimane il guadagno finanziario attraverso gli stipendi, alcuni di questi schemi evolvono verso furti di dati, tentativi di estorsione e attività legate al ransomware, trasformando quella che inizialmente appare come una semplice frode occupazionale in una minaccia multiforme alla sicurezza aziendale e nazionale.