Nord Corea: gli hacker attaccano nuovi crypto founder su Zoom

Negli ultimi giorni, almeno tre fondatori di aziende nel settore delle criptovalute hanno segnalato tentativi di frode legati a sospetti hacker nordcoreani. I criminali informatici avrebbero cercato di sottrarre dati sensibili attraverso chiamate Zoom contraffatte, utilizzando una tecnica sofisticata che sfrutta la psicologia delle vittime.

Il nuovo metodo degli hacker del Nord Corea: finte chiamate Zoom con problemi tecnici

Nick Bax, membro del gruppo di hacker etici Security Alliance, ha denunciato il nuovo metodo di attacco con un post su X (ex Twitter) l’11 marzo. Secondo Bax, questa strategia ha già portato al furto di milioni di dollari da parte dei truffatori.

Il modus operandi prevede il contatto della vittima con una proposta di incontro o collaborazione. Una volta avviata la videochiamata, i malintenzionati inviano un messaggio segnalando problemi audio, mentre sullo schermo appare un video pre-registrato di uno pseudo-investitore dall’aria annoiata. A quel punto, viene inviato alla vittima un link a una nuova chiamata, spiegando che è necessario per risolvere il problema tecnico.

Tuttavia, il nuovo link è in realtà un malware camuffato, che chiede all’utente di installare una patch per ripristinare il corretto funzionamento audio/video. Bax evidenzia come questa tecnica sfrutti la fretta e la pressione psicologica del momento:

“Pensate di stare incontrando investitori importanti e cercate di risolvere il problema in fretta, abbassando la guardia. Ma una volta installata la patch, siete fregati.”  

Fondatori di società crypto nel mirino degli hacker nordcoreani

Dopo la rivelazione di Bax, diversi fondatori di aziende nel settore blockchain hanno raccontato esperienze simili. Giulio Xiloyannis, co-fondatore della piattaforma di gaming basata su blockchain Mon Protocol, ha riferito di aver quasi subito il raggiro. Secondo quanto riportato, gli hacker hanno cercato di truffare lui e il responsabile del marketing con una proposta di partnership. Tuttavia, Xiloyannis ha intuito l’inganno quando è stato reindirizzato all’ultimo momento su un link sospetto, che pretendeva di non riuscire a leggere l’audio per spingerlo a scaricare un file pericoloso.

Un altro caso riguarda David Zhang, co-fondatore di Stably, una startup che si occupa di stablecoin sostenute da venture capital statunitensi. Anche lui è stato contattato dai truffatori, che inizialmente hanno utilizzato il suo link personale di Google Meet. Tuttavia, poco dopo, con il pretesto di un incontro interno, gli hanno chiesto di collegarsi a un’altra videochiamata fasulla.

Zhang, che ha risposto alla chiamata dal suo tablet, ha ritenuto che il malware degli hacker fosse progettato prevalentemente per sistemi operativi desktop, poiché non ha notato anomalie evidenti sul suo dispositivo mobile.

Un’altra vittima del tentativo di attacco è Melbin Thomas, fondatore della piattaforma decentralizzata di intelligenza artificiale Devdock AI, specializzata in progetti Web3. Dopo aver avviato per errore l’installazione del file infetto, Thomas è riuscito a bloccare il processo in tempo evitando di inserire la password. Per precauzione, ha scollegato il laptop e ripristinato il dispositivo alle impostazioni di fabbrica, ma rimane il dubbio se i file trasferiti su un hard disk esterno fossero stati compromessi.

L’allarme di Stati Uniti, Giappone e Corea del Sud sui cyber-attacchi nordcoreani

Questi episodi si inseriscono in un contesto più ampio di crescente minaccia cybernetica da parte di gruppi hacker nordcoreani. Il 14 gennaio, Stati Uniti, Giappone e Corea del Sud hanno rilasciato un comunicato congiunto per avvisare del pericolo rappresentato da criminali informatici legati alla Corea del Nord, con particolare attenzione verso il settore delle criptovalute.

Tra i gruppi hacker più noti figura Lazarus Group, accusato di essere coinvolto in alcuni dei più grandi furti nella storia della blockchain. Il gruppo è sospettato di aver orchestrato attacchi come quello ai danni di Bybit, che ha portato alla sottrazione di 1,4 miliardi di dollari, e quello alla rete Ronin, che ha visto un furto di 600 milioni di dollari.

Dopo i numerosi attacchi, gli hacker di Lazarus hanno spostato i fondi rubati attraverso piattaforme di mixing, strumenti utilizzati per offuscare la provenienza delle criptovalute. Secondo CertiK, società specializzata in sicurezza blockchain, il gruppo ha di recente depositato 400 Ethereum (ETH), per un valore di circa 750.000 dollari, nel servizio di mixing Tornado Cash.

Conclusioni: un rischio crescente per il mondo crypto

Gli episodi segnalati dai fondatori di aziende nel settore blockchain confermano che gli hacker stanno affinando sempre più le loro tecniche, sfruttando la fiducia e la fretta delle vittime. La crescente frequenza di questi attacchi spinge gli esperti di sicurezza a ribadire l’importanza di adottare misure preventive, come verificare ogni link prima di cliccarlo ed evitare di installare file da fonti sconosciute.

Con l’intensificarsi delle attività di gruppi come Lazarus, il mondo delle criptovalute deve fronteggiare un rischio sempre maggiore legato ai cyber-attacchi. La collaborazione tra aziende, esperti di sicurezza e governi sarà fondamentale per contrastare queste minacce e proteggere i capitali digitali da furti sempre più sofisticati.