L'esercito di fake developer della Corea del Nord: così l'IA ha fatto esplodere le infiltrazioni nelle aziende USA

Il raggiro delle assunzioni potenziato dall'IA

La tecnica principale di Famous Chollima è allo stesso tempo sofisticata e inquietantemente semplice: farsi assumere. Attivo almeno dal 2018, il gruppo è specializzato nell'ottenere impieghi freelance fraudolenti o a tempo pieno, in genere come sviluppatori software da remoto .

Ciò che è cambiato di recente è l'industrializzazione della frode occupazionale. Il CrowdStrike 2025 Threat Hunting Report descrive un "quadro chiaro di un avversario che integra profondamente strumenti basati sull'IA generativa per automatizzare e ottimizzare i flussi di lavoro in ogni fase del processo di assunzione e impiego" .

Le tattiche specifiche documentate nei rapporti di CrowdStrike includono:

• Deepfake video e audio generati dall'IA per i colloqui a distanza. Gli agenti usano strumenti di IA generativa consumer, tra cui ChatGPT di OpenAI e Gemini di Google, per alterare la propria voce e il video in tempo reale durante i video-colloqui e per generare risposte convincenti alle domande tecniche .
• Personaggi professionali completamente inventati. Gli attori della minaccia creano profili LinkedIn curati con immagini del profilo generate dall'IA, completi di storie lavorative credibili e curriculum falsi che superano i controlli dei precedenti .
• Veri documenti d'identità rubati. Gli agenti sfruttano numeri di previdenza sociale statunitensi rubati e altri documenti d'identità per rendere più profonda l'illusione di legittimità per i sistemi di screening dei precedenti .

Il team di caccia alle minacce OverWatch di CrowdStrike, che in Italia potremmo paragonare a una super-squadra di intelligence digitale, ha indagato oltre 320 casi distinti di agenti di Famous Chollima che hanno ottenuto impieghi fraudolenti in un periodo di 12 mesi — un aumento impressionante del 220% rispetto all'anno precedente . Anche il tasso di successo di queste assunzioni sotto mentite spoglie è aumentato del 220%, e Adam Meyers, capo delle operazioni contro gli avversari di CrowdStrike, ha notato che il suo team sta ora rispondendo a circa un incidente di questo tipo al giorno .

Cosa cercano

La motivazione è un doppio canale di entrate per il regime sotto sanzioni.

Il primo flusso è il semplice furto di stipendi. Gli agenti di Famous Chollima riscuotono le buste paga dalle aziende in cui si infiltrano, dirottando i salari verso la Corea del Nord. Il secondo — e più dannoso per le vittime — è il furto di proprietà intellettuale. Una volta all'interno di una rete con credenziali legittime, gli agenti rubano codice sorgente proprietario, segreti commerciali e altra proprietà intellettuale sensibile .

Parallelamente allo schema dei finti lavoratori IT, il più ampio ecosistema informatico nordcoreano gestisce una massiccia operazione di furto di criptovalute. Il CrowdStrike 2026 Financial Services Threat Landscape Report ha rilevato che i gruppi legati alla Repubblica Popolare Democratica di Corea (RPDC) hanno rubato un totale di 2,02 miliardi di dollari in asset digitali durante il 2025, con un aumento del 51% rispetto all'anno precedente . Il più grande colpo singolo — 1,46 miliardi di dollari in criptovaluta — è stato attribuito al gruppo correlato PRESSURE CHOLLIMA, che ha distribuito software trojanizzato attraverso una compromissione della catena di approvvigionamento .

La destinazione ultima di questi fondi è esplicita. I miliardi rubati sono "quasi certamente riciclati e saranno utilizzati per finanziare i programmi militari e di armamento nucleare del regime", afferma il 2026 Financial Services Threat Landscape Report .

Oltre l'assunzione: l'estorsione tramite furto di dati

Sebbene i resoconti pubblici su Famous Chollima enfatizzino l'infiltrazione e il furto, l'esfiltrazione di dati comporta un secondo potenziale guadagno. Le più ampie operazioni informatiche nordcoreane hanno adottato tattiche di estorsione tramite furto di dati, minacciando di far trapelare le informazioni rubate se non viene pagato un riscatto.

Un precedente Global Threat Report di CrowdStrike ha registrato un aumento del 76% delle vittime nominate sui siti di leak dedicati, poiché l'estorsione tramite furto di dati è diventata una via di monetizzazione preferita per molti avversari . L'azienda nota che sono stati osservati attori legati alla RPDC condurre campagne di furto di dati ed estorsione senza distribuire ransomware, facendo pressione attraverso la minaccia di esporre dati sensibili .

CrowdStrike ha anche confermato che, negli incarichi di servizio che hanno coinvolto Famous Chollima, il furto di dati è stato confermato nel 50% dei casi . Queste informazioni esfiltrate potrebbero essere sfruttate per l'estorsione, anche se i riassunti pubblici dei rapporti si concentrano più direttamente sulla pipeline di infiltrazione interna e furto di stipendi e crypto del gruppo. I dettagli esatti del piano di riscatto post-rilevamento di Famous Chollima potrebbero essere disponibili solo nei rapporti completi sulle minacce, non oscurati, piuttosto che nei riassunti pubblici disponibili finora.

La portata e la sofisticazione dell'operazione rappresentano un nuovo paradigma nell'intrusione informatica da parte di Stati-nazione, spostando la minaccia dagli attacchi perimetrali agli insider fidati che vengono assunti, vengono pagati e rubano dall'interno.