Negli ultimi anni il panorama delle criptovalute ha dovuto fare i conti con operazioni sempre più complesse attribuite alla Corea del Nord, che non si limita a episodi sporadici ma porta avanti campagne strutturate per ottenere risorse.
Una recente campagna di infiltrazione della durata di sei mesi presso una società del settore ha messo in luce metodi pazienti e pianificati, mentre altri exploit hanno drenato somme superiori al miliardo di dollari. Il fenomeno ha costretto ricercatori e operatori a ripensare le difese: non si tratta solo di fermare attacchi tecnici, ma di capire la logica economica dietro queste azioni.
La domanda centrale è semplice ma profonda: perché la Corea del Nord continua a preferire le crittovalute e perché il suo approccio differisce da quello di altri stati che compiono operazioni offensive? Esperti di sicurezza osservano che il bersaglio non è la tecnologia per il suo valore intrinseco, bensì la possibilità di convertire attivi digitali in valuta forte senza passare per canali tradizionali. Comprendere questa distinzione è essenziale per progettare contromisure efficaci.
Indice dei contenuti:
Perché le criptovalute sono così strategiche
Secondo analisti del settore, la Corea del Nord è sottoposta a sanzioni internazionali che limitano gravemente le opportunità commerciali; per questo motivo ha bisogno di flussi di cassa immediati. Il furto di criptovalute consente l’accesso a valore liquido a livello globale senza dover trovare un partner disposto a commerciare con Pyongyang. Come osserva il direttore operativo di SVRN, Dave Schwed, il regime non può permettersi la pazienza che caratterizza altri attori statali: le risorse servono per programmi di armamento e per sostenere un’economia isolata. In questo contesto la conversione rapida di asset digitali in valuta reale diventa una priorità strategica.
Risorse limitate e differenze con altri stati
A differenza della Russia o dell’Iran, che dispongono di materie prime, esportazioni e reti commerciali alternative, la Corea del Nord ha pochi beni commerciabili e quasi nulla che possa aggirare le sanzioni in modo continuativo. Mentre la Russia usa le crypto per spostare valore tra partner e l’Iran per finanziarie reti proxy regionali, Pyongyang opera in modo più diretto: mira a sottrarre fondi dall’ecosistema crypto stesso. Questa distinzione si traduce in una strategia operativa che somiglia più a una campagna di predazione finanziaria che a un uso incidentale delle valute digitali.
Modus operandi: attacchi mirati e lungo termine
Gli operatori nordcoreani non si limitano a strumenti rudimentali: usano tecniche tipiche delle agenzie d’intelligence, costruendo relazioni, creando identità false e penetrando la catena di fornitura per mesi prima di colpire. Exchange, fornitori di wallet, protocolli DeFi e chi detiene le chiavi private diventano obiettivi primari. Come sottolinea il chief information security officer di ENS Labs, Alexander Urbelis, la vittima è chiunque abbia accesso all’infrastruttura che custodisce le chiavi: non si tratta di attacchi lampo, ma di operazioni in cui l’ingegneria sociale e la pazienza sono fondamentali.
Tattiche e casi emblematici
La campagna denominata Drift è solo l’ultimo esempio di una tattica che prevede mesi di preparazione per compromettere figure chiave. Queste tecniche superano il classico phishing di massa: si tratta di manipolazione mirata per ottenere autorizzazioni e accessi privilegiati. In passato, attacchi come quello alla Bangladesh Bank nel 2016 mostrarono come i sistemi bancari tradizionali offrano ancora margini per bloccare o recuperare fondi; nel mondo crypto, invece, molte di queste protezioni non esistono.
Perché la blockchain favorisce i predoni e quali sono le contromisure
Un elemento cruciale è la finalità delle transazioni sulla blockchain: una volta che una transazione è firmata e confermata, diventa definitiva a livello di protocollo. Questo elimina controlli tipici del sistema bancario, come ritardi di regolamento o banche corrispondenti che possono intervenire. In un attacco a un exchange è stato trasferito circa 1,5 miliardi di dollari in 30 minuti, una rapidità che rende quasi impossibile qualsiasi congelamento post-fatto. Per questo motivo le difese devono spostarsi verso la prevenzione, l’autenticazione rigorosa e la governance delle chiavi.
Il settore deve investire in verifiche d’identità più robuste, controlli sulla catena di approvvigionamento, criteri più severi per la gestione delle chiavi private e strumenti automatici di rilevamento comportamentale. Solo anticipando gli attacchi — e non contando su rimedi successivi — sarà possibile ridurre l’attrattiva di questo vettore di finanziamento per la Corea del Nord. La consapevolezza che qui non si sta combattendo un semplice cybercriminale, ma un attore con obiettivi statali e risorse dedicate, è il primo passo per rendere l’ecosistema meno vulnerabile.
