A tutti quei dementi che hanno creduto alle criptovalute come moneta libertà, un monito dal 38° parallelo: possono perdere tutto.
Qui è la Korea del nord a farlo, ma questo significa solo che “anche gli altri possono farlo”.
Cioè possono farlo tutti!
Tranne te che credevi di aver messo al sicuro i tuoi risparmi…
Trad
Come la Corea del Nord ha trasformato la criminalità informatica e il furto di criptovalute in un arsenale strategico—e perché gli Stati Uniti devono ricalibrare
La Corea del Nord si è evoluta da un rumoroso vandalo digitale a uno degli attori statali più capaci e prolifici nel settore informatico, responsabile di alcune delle più grandi rapine finanziarie della storia, tra cui l’attacco al ponte Ronin da 620 milioni di dollari e una lista crescente di violazioni di borse da centinaia di milioni di dollari.
Nell’ultimo decennio, gruppi legati alla Corea del Nord hanno rubato miliardi di dollari in criptovalute, inclusi circa 1,7 miliardi solo nel 2022 e circa 1 miliardo in più nel 2023. Gli analisti di aziende come Chainalysis e TRM Labs valutano che una parte sostanziale di questi fondi sostiene i programmi nucleari e missilistici della Corea del Nord, aiutando Pyongyang a aggirare sanzioni che altrimenti limiterebbero lo sviluppo delle armi.
La maggior parte di quella criptovaluta non è stata acquistata né minata. È stato rubato—preso da exchange, ponti DeFi e persino utenti individuali attraverso anni di intrusioni, ingegneria sociale e compromessi della catena di approvvigionamento. Questi beni rubati ora funzionano come un tesoro nazionale ombra che le sanzioni non possono toccare e che aiuta a finanziare armi nucleari, sviluppo missilistico e le reti di lealtà che mantengono intatto il regime di Kim.
Recentemente, la Corea del Nord ha acquistato migliaia di computer di fascia bassa, secondo un rapporto open source sulle esportazioni di hardware cinesi nella RPDC. Sebbene tali acquisti non determinino il loro obiettivo specifico, la formazione degli sviluppatori non richiede sistemi di fascia alta. Insieme all’enfasi costante del regime sulle attività cyber e di hacking, ciò potrebbe suggerire che la Corea del Nord abbia iniziato silenziosamente ad espandere il proprio flusso di addestramento hacker.
L’attenzione della Corea del Nord potrebbe ora essere sulla scalabilità, e sfruttare strumenti di IA occidentali—involontariamente ma indiscutibilmente—sembra aver accelerato questo cambiamento. Invece di affidarsi esclusivamente a unità d’élite, Pyongyang potrebbe ampliare il flusso umano necessario per condurre più campagne contemporaneamente.
In parole semplici: la Corea del Nord è diventata una superpotenza negli attacchi informatici e nei furti di criptovalute, mentre la politica statunitense è ancora calibrata a un’epoca precedente. Se Washington continuerà a trattare questo come una questione periferica—qualcosa che gli addetti al personale informatico e agli addetti alla conformità devono gestire ai margini—continuerà a perdere terreno a favore di un regime che considera il furto digitale come una strategia centrale di governo.
I. Origini (2000–2013): I primi esperimenti
Le prime campagne cibernetiche della Corea del Nord non erano eleganti. Erano rumorosi, disturbanti e tecnicamente poco impressionanti. Ma hanno insegnato a Pyongyang qualcosa di cruciale: le operazioni informatiche potevano andare ben oltre il loro limite, molestando gli avversari, testando i confini e generando effetti politici sproporzionati senza scatenare una rappresaglia convenzionale. In questa fase ci furono due operazioni principali.
Ondate DDoS 2009 e 2011
Nel 2009 e 2011, attacchi DDoS su larga scala (distributed denial-of-service) hanno invaso siti web governativi sudcoreani e statunitensi, grandi banche e portali mediatici con traffico indesiderato. Le indagini successivamente collegarono quelle onde a botnet di macchine compromesse e, infine, a infrastrutture collegate alla Corea del Nord, anche se inizialmente l’attribuzione fu contestata.
Gli strumenti erano basilari, l’infrastruttura presa in prestito, ma l’effetto fu notizia nazionale e giorni di disordini—la lezione per Pyongyang fu potente: anche malware di base e infrastrutture a noleggio potevano sconvolgere governi e sistemi finanziari in due economie avanzate contemporaneamente, a costi minimi.
2013 DarkSeoul
Gli attacchi dei tergiatori DarkSeoul del 2013 contro emittenti e banche sudcoreane hanno aggravato drasticamente la situazione. Decine di migliaia di sistemi furono resi inutilizzabili; I bancomat sono usciti offline e le redazioni sono state chiuse. Le società di sicurezza hanno successivamente identificato il malware di cancellazione (“DarkSeoul” / Jokra) e hanno rintracciato attività correlate a attori che prendevano di mira istituzioni finanziarie coreane.
Non si trattava più solo di “deturpazione su larga scala del sito web”. Fu un attacco distruttivo contro infrastrutture economiche critiche, eseguito tramite codice piuttosto che con artiglieria. Questi primi episodi hanno dato vita ai concetti e all’infrastruttura poi perfezionati sotto etichette come Lazarus Group, APT38 e Kimsuky.
II. 2014–2017: Strategia, Coercizione e Denaro
Dal 2014 in poi, il comportamento cibernetico della Corea del Nord è passato da molestie fastidiose a coercizione strategica, spionaggio e guadagno finanziario. In questa fase ci sono state almeno tre operazioni importanti e di rilievo.
Hack Sony Pictures (2014)
L’attacco a Sony Pictures è stato la prima grande dimostrazione che uno stato potesse usare strumenti informatici per costringere i comportamenti nello spazio culturale. L’FBI ha pubblicamente attribuito l’attacco alla Corea del Nord, citando sovrapposizioni di malware e collegamenti infrastrutturali. Terabyte di dati sono stati rubati, i sistemi cancellati e i dirigenti hanno subito umiliazioni pubbliche, tutto per fare pressione su un’azienda privata per un film satirico.
Violazione KHNP (2014)
Più tardi nello stesso anno, degli hacker hanno violato la Korea Hydro & Nuclear Power (KHNP), la più grande compagnia elettrica della Corea, trapelando dati dei dipendenti e documenti sensibili relativi ai reattori. Anche senza attribuzioni concludenti, l’intento politico era inequivocabile: intimidire la Corea del Sud dimostrando l’accesso a sistemi nucleari adiacenti.
Rapine SWIFT (2015–2017)
Forse il più significativo è stato il passaggio della Corea del Nord verso crimini finanziari ad alto rischio. Attraverso messaggi SWIFT manipolati e ricognizioni durate mesi, gli operatori tentarono di rubare quasi 1 miliardo di dollari da banche internazionali, riuscendo a realizzare diversi colpi di alto valore. Queste operazioni divennero un modello per le campagne future, combinando pazienza, precisione e ricompensa finanziaria.
By 2017, cyber-enabled theft was no longer opportunistic—it was central to North Korea’s foreign revenue generation.
III. 2017–2020: The Crypto Pivot
As global crypto markets exploded, North Korea noticed something many governments missed: this was a financial ecosystem born without gatekeepers. Crypto exchanges offered liquidity, anonymity, and uneven security standards—an irresistible combination for a sanctions-bound state. Three major operations characterized this phase as well.
Exchange Raids
Poorly secured and regulated Asian exchanges, often with weak internal controls, became prime targets. North Korean operators used spearphishing, compromised updates, and abused developer accounts to gain internal access before draining hot wallets. Public attributions by blockchain-analytics firms and law enforcement repeatedly pointed to Lazarus and related DPRK entities.
FASTCash (2018–2019)
The FASTCash campaign targeted global payment-switch servers, enabling fraudulent ATM withdrawals in dozens of countries. This operation showed deep understanding of financial protocols and the ability to manipulate infrastructure well beyond cryptocurrency.
AppleJeus
At the same time, North Korea began targeting individual crypto users via AppleJeus—trojanized cryptocurrency trading apps that mimicked legitimate platforms. A joint CISA-FBI-Treasury advisory documented how DPRK actors built fake trading companies and lured victims into installing malware that exfiltrated wallet keys and credentials.
Nel 2020, il furto di criptovalute era diventato centrale nella strategia di sopravvivenza di Pyongyang—un modo per generare valuta forte al di fuori delle sanzioni convenzionali.
IV. 2020–2023: Furto di criptovalute su scala industriale
All’inizio degli anni 2020, la Corea del Nord si è evoluta in un’impresa industriale di saccheggio informatico. Invece di colpire solo gli exchange, ha attaccato interi ecosistemi blockchain: ponti cross-chain, protocolli DeFi e fornitori di identità principali.
Grandi colpi (Ronin, KuCoin, Harmony)
Nel 2022, l’FBI ha attribuito l’attacco hacker del ponte Ronin da 620 milioni di dollari a Lazarus e APT38, sottolineando esplicitamente il ruolo della Corea del Nord. Ronin non era un’eccezione; nello stesso anno, si stima che attori legati alla RPDC abbiano rubato circa 1,7 miliardi di dollari in criptovalute attraverso molteplici attacchi. Non si trattava di attacchi di sfondo; Hanno richiesto mesi di preparazione e conoscenze approfondite delle meccaniche blockchain. Almeno due operazioni note caratterizzarono questa fase.
Intrusione nella catena di approvvigionamento di JumpCloud (2023)
Nel 2023, hacker sostenuti dalla Corea del Nord hanno violato JumpCloud, una piattaforma statunitense per la gestione di identità e dispositivi, i cui clienti includevano diverse aziende focalizzate sulle criptovalute. Compromettendo una singola piattaforma SaaS, gli operatori della DPRK hanno ottenuto potenzialmente accesso a molteplici vittime a valle. Questo rifletteva una comprensione strategica delle moderne catene di approvvigionamento software.
Reti di riciclaggio
Spostare così tante criptovalute rubate richiede infrastruttura. Le indagini hanno dimostrato che i portafogli associati a Lazarus hanno inviato fondi su conti utilizzati dalla società di pagamenti cambogiana Huione Pay, e le sanzioni statunitensi hanno sempre più preso di mira broker OTC cinesi e russi e società di comodo che aiutano a riciclare i proventi della RPDC.
Entro il 2023, le stime globali suggeriscono che attori legati alla Corea del Nord abbiano rubato complessivamente diversi miliardi di dollari in criptovalute, rendendo l’hacking delle criptovalute una quota significativa dei ricavi esterni del regime.
V. 2024–2025: Furto su scala IA, attacchi mobili, espansione dell’addestramento e Upbit
L’intelligenza artificiale, le piattaforme di appalto remoto e la globalizzazione dello sviluppo software hanno dato alla Corea del Nord una nuova leva. Il regime iniziò a scalare le sue operazioni non solo attraverso strumenti migliori, ma anche attraverso un crescente bacino di lavoratori IT all’estero. Questa fase è caratterizzata da tre tendenze principali e da un’operazione fondamentale.
Furto focalizzato sul mobile
Con lo spostamento dell’attività crypto sui dispositivi mobili, le campagne della DPRK hanno preso sempre più di mira i portafogli mobili e gli utenti DeFi. Avvisi pubblici delle autorità statunitensi e alleate descrivono attacchi di ingegneria sociale su misura contro i dipendenti di aziende crypto e DeFi, spesso effettuati tramite offerte di lavoro false e phishing ben strutturato che alla fine rilasciano malware come TraderTraitor e AppleJeus.
Queste operazioni sfruttano dirottamenti di appunta, manomissioni del codice QR, APK sideloaded e furto di token MFA—sottraendo silenziosamente valore agli utenti su larga scala.
Ecosistemi Modulari di Malware e Offensivi
Le catene di strumenti nordcoreane ora somigliano a framework offensivi professionali: loader modulari, plugin di ricognizione, raccoglitori di credenziali e impianti cloud-focus, molti dei quali vengono riutilizzati tra le campagne. I reportage pubblici sulle operazioni cibernetiche nordcoreane sottolineano ripetutamente una crescente sofisticazione e riutilizzo delle famiglie di malware nel tempo.
Espansione della pipeline di formazione
Sul fronte hardware, un recente rapporto secondo cui un trader cinese ha venduto oltre 2.000 PC e schede grafiche alla Corea del Nord è meglio letto come un segnale di addestramento, non come una costruzione del gaming. Non si tratta di cluster di intelligenza artificiale di fascia alta; Sono macchine su scala di classe perfette per insegnare programmazione, basi di intrusione e sviluppo legato alle cripto. E con il suo percorso di formazione in espansione, questa cleptocrazia digitale non è una fase di passaggio—è un modello a lungo termine.
La Violazione dell’Upbit 2025
Nel novembre 2025, la più grande borsa della Corea del Sud, Upbit, ha segnalato prelievi non autorizzati di circa 44,5 miliardi di won (circa 30 milioni di dollari) in asset basati su Solana e ha interrotto depositi e prelievi. Nel giro di pochi giorni, le autorità sudcoreane hanno iniziato a sospettare pubblicamente il Lazarus Group, citando somiglianze con l’attacco informatico di Upbit del 2019.
For Pyongyang, this is business as usual: another data point in a years-long trend of large-scale, repeatable theft against high-value crypto targets.
VI. A Digital Reserve Beyond Sanctions
When you aggregate these heists, what emerges is not a random crime spree but a shadow national treasury. Open-source estimates suggest DPRK cyber units stole around $1.7 billion in 2022, roughly $1 billion in 2023, and more than $1.3 billion in 2024, with 2024 alone accounting for a majority of global crypto-hack losses.
US and UN officials now openly state that crypto theft has become a key funding source for North Korea’s weapons of mass destruction programs.
Ciò significa che il regime ha, di fatto, costruito un fondo sovrano di beni digitali rubati—un fondo di guerra che si trova al di fuori del sistema tradizionale del dollaro, difficile da congelare e può essere mosso alla velocità degli elettroni.
Alcuni analisti vanno oltre, sostenendo che se si convertono i noti furti di criptovalute nordcoreani in tentativi teorici, Pyongyang potrebbe essere tra i maggiori detentori statali di Bitcoin al mondo, dietro solo Stati Uniti e Cina. Questa è un’inferenza, non un fatto comprovabile nel bilancio—ma anche una lettura conservatrice suggerisce che la Corea del Nord ora eserciti un’esposizione su scala statale a Bitcoin e ad altre criptovalute.
VII. Implicazioni strategiche
Nel complesso, le attività cyber e crypto della Corea del Nord rappresentano una strategia coerente costruita su tre pilastri:
- Potere cibernetico: distruttivo, persistente e relativamente economico.
- Potere cripto-finanziario: senza confini e resistente alle sanzioni.
- Forza umana: una forza lavoro in espansione, abilitata dall’IA, composta da lavoratori IT segreti e hacker.
Gli Stati Uniti sono stati lenti a interiorizzare questa cosa. Le conversazioni politiche si limitano ancora a missili, artiglieria e test nucleari. Eppure gran parte della leva pratica e della resilienza quotidiana di Pyongyang deriva ora dalla sua capacità di rubare, riciclare e trasformare il valore digitale su larga scala.
VIII. Cosa succede se la crypto diventa mainstream?
Qui c’è uno scenario di orizzonte scomodo. Nei dibattiti politici statunitensi, le criptovalute appaiono periodicamente come potenziali componenti di una futura architettura finanziaria o come asset che potrebbero competere con il dominio a lungo termine del dollaro.
Se Bitcoin o altre grandi criptovalute ottengono una legittimità più ampia sugli asset di riserva, le partecipazioni rubate della Corea del Nord diventano più di semplici proventi criminali:
- Ottengono liquidità e legittimità.
- Diventano più difficili da isolare senza movimenti sistemici più ampi.
- Danno a Pyongyang un cuscinetto contro la pressione delle sanzioni.
In quel mondo, la RPDC non sarebbe solo uno stato canaglia abilitato alle criptografie; Sarebbe una superpotenza cripto-canagli, con la capacità di attingere a grandi riserve digitali in un ecosistema finanziario più mainstream.
Questo è comunque uno scenario, non una previsione. Ma i pianificatori statunitensi dovrebbero attivamente giocare a un futuro in cui le riserve di criptovalute detenute dagli avversari funzionino come asset ombra di banca centrale piuttosto che come semplici bottini illeciti.
IX. Raccomandazioni politiche
Affrontare questa minaccia richiede un mix di pressione finanziaria, tutele della catena di approvvigionamento, selezione degli sviluppatori e lavoro di intelligence transfrontaliera. La politica cyber e crypto non può più essere considerata periferica rispetto alla strategia nordcoreana; ora sono centrali per essa. Le seguenti raccomandazioni indicano da dove gli Stati Uniti e i loro alleati dovrebbero iniziare.
- Considera il furto di criptovalute nella RPDC come finanziamento con armi di distruzione di massa: L’architettura delle sanzioni statunitensi e alleate dovrebbe formalmente trattare i proventi del furto di criptovalute della RPDC come finanziamento per armi di distruzione di massa (WMD). Questa riclassificazione sbloccherebbe sanzioni secondarie più forti, blocchi obbligatori per i wallet segnalati e maggiori aspettative di conformità per exchange, custodi e banche.
- Costruire un “Crypto-PSI” multinazionale: L’Iniziativa per la Sicurezza della Proliferazione (PSI) ha mostrato come gli stati possano cooperare per intercettare le spedizioni di armi di distruzione di massa in mare. Un Crypto-PSI avrebbe fatto qualcosa di simile nel mondo digitale: una coalizione permanente per condividere informazioni sui portafogli, coordinare i blocchi e sincronizzare le azioni contro mixer, broker OTC e società di pagamento che riciclano fondi della RPDC.
- Reti di riciclaggio di bersaglio, non solo portafogli nordcoreani: Le sanzioni dovrebbero concentrarsi sui broker OTC, società di comodo e processori di pagamento cinesi e russi che riciclano le criptovalute della RPDC, come hanno iniziato a fare le recenti azioni statunitensi contro le reti collegate a Huione e i banchieri nordcoreani. Interrompere questi facilitatori aumenta i costi e costringe Pyongyang a ricostruire la propria infrastruttura finanziaria.
- Espandere le operazioni di caccia e avanzamento USA–ROK–Giappone: I team congiunti di caccia—schierati nelle reti dei partner disposti per cercare in tempo reale intrusioni della DPRK—dovrebbero essere ampliati e esplicitamente focalizzati sull’infrastruttura crypto e fintech. Questo sfrutterebbe la cooperazione trilaterale informatica esistente e aiuterebbe i piccoli exchange e portafogli a individuare prima l’attività della DPRK.
- Trattare tutti i lavoratori IT della RPDC come asset statali ostili: In questo contesto non esiste un “buon” operatore IT nordcoreano. Il Tesoro degli Stati Uniti, l’FBI e il DOJ hanno documentato schemi in cui cittadini della RPDC, usando identità rubate o fabbricate, si infiltrano in aziende occidentali, incluse società criptoattive e persino entità legate alla difesa. Ogni sviluppatore della RPDC all’estero alla fine invia reddito al regime e comporta rischi legati alla catena di approvvigionamento del codice. Le politiche dovrebbero riflettere questa realtà.
- Imporre standard di base per la sicurezza degli exchange: Le principali borse dovrebbero essere regolamentate più come infrastrutture di mercato finanziario che come le startup. Al minimo, ciò significa limiti rigorosi di hot-wallet, archiviazione delle chiavi del modulo di sicurezza hardware (HSM), multi-firma obbligatoria, controlli interni rigorosi e audit di sicurezza indipendenti. I dati della DPRK mostrano che i processi interni deboli—non gli zero-day esotici—sono il punto d’ingresso abituale.
- Rafforza l’ecosistema crypto mobile: Poiché gran parte dell’attività crypto è ora mobile, regolatori e store di app dovrebbero richiedere una firma di codice solida, pipeline di build sicure e binari di wallet a prova di manomissione, combinati con protezioni a runtime contro il dirottamento dei portavoci e la manipolazione del codice QR.
- Monitorare il percorso di addestramento hacker della DPRK: Le importazioni all’ingrosso di PC e GPU in Corea del Nord non sono un commercio normale; sono indicatori potenziali del volume futuro degli operatori. La comunità dell’intelligence e gli organismi sanzionatori dovrebbero considerare le spedizioni di hardware su larga scala—come la recente vendita di oltre 2.000 computer e schede grafiche alla RPDC—come segnali di allerta precoce ed eventi sanzionabili quando violano le risoluzioni ONU.
- Richiedere un controllo continuo dei lavoratori DPRK-IT per i contraenti federali: Appaltatori e subappaltatori federali toccano codici sensibili, infrastrutture cloud e informazioni controllate e non classificate. Il DOJ e l’FBI hanno già smascherato schemi in cui lavoratori IT della RPDC si sono infiltrati in aziende statunitensi, inclusi quelli con legami con la difesa, usando facilitatori statunitensi e identità false. Le regole federali sulle acquisizioni dovrebbero richiedere un controllo continuo dell’identità della forza lavoro e dell’integrità del codice per garantire che gli sviluppatori nordcoreani non vengano inseriti silenziosamente nei team nel tempo.
- Creare un centro federale di selezione e consulenza per le aziende statunitensi: La maggior parte delle piccole e medie aziende non ha un modo pratico per individuare gli sviluppatori della RPDC che si spacciano per appaltatori remoti. Washington dovrebbe istituire un hub centralizzato che fornisca: assistenza per la verifica dell’identità, indicatori di segnalazione di persona e curriculum, scansioni opzionali dell’integrità del codice per depositi critici e canali di segnalazione chiari per sospette attività IT della RPDC. Recenti avvisi IC3 e del Tesoro già evidenziano segnali d’allarme; Il pezzo mancante è un servizio operativo che aiuta le aziende ad agire su di essi.
- Collegare la conformità CMMC/FedRAMP/NIST al controllo della DPRK: I framework esistenti come CMMC, FedRAMP e i controlli della serie 800 del NIST impongono già ampi requisiti cibernetici agli appaltatori. Dovrebbero essere aggiornati per richiedere esplicitamente processi di verifica dell’identità della forza lavoro e di selezione degli sviluppatori rivolti ai lavoratori IT della RPDC, colmando un grande divario tra la sicurezza tecnica e quella del personale.
- Prepararsi all’adozione delle criptovalute a livello sovrano: Infine, i pianificatori finanziari e di sicurezza nazionale statunitensi devono modellare un mondo in cui le criptovalute diventino più pienamente integrate nelle riserve e nei sistemi di pagamento globali. Se Bitcoin o asset simili ottengono lo status di riserva nelle principali economie, la criptovaluta rubata dalla Corea del Nord diventa strutturalmente più difficile da isolare e più preziosa come asset strategico a lungo termine. La politica sulla regolamentazione degli asset digitali, le sanzioni e le valute digitali delle banche centrali dovrebbe considerare esplicitamente questo scenario di riserva avversaria
Conclusione: La prima cripto-superpotenza ribelle
La Corea del Nord ha costruito qualcosa di senza precedenti nella politica internazionale: una cleptocrazia digitale statale che funziona come un fondo sovrano de facto, denominato interamente su criptovalute rubate e protetto dalle sanzioni tradizionali.
Lo ha fatto non attraverso l’innovazione finanziaria, ma attraverso furti incessanti e sponsorizzati dallo Stato—scalati dall’IA, riciclati attraverso reti globali e dotati di lavoratori IT segreti integrati in tutto il mondo.
Se le criptovalute continueranno a maturare e a integrarsi nel sistema finanziario globale, le riserve crypto di Pyongyang acquisiranno un peso strategico ancora maggiore, conferendo al regime una resilienza che non ha mai goduto prima.
Questa non è più una storia secondaria ai missili e ai vertici. È la spina dorsale della potenza nordcoreana del XXI secolo.
E finché la politica statunitense e alleata non sarà ricalibrata su questa realtà, la prima cripto-superpotenza canaglia al mondo continuerà a rafforzarsi—un exchange violato, un account sviluppatore compromesso e un lavoratore IT “freelance” della RPDC alla volta.
Di Franco Remondina