Il panorama delle minacce informatiche è in costante evoluzione e si fa sempre più complesso, anche a causa di attacchi coordinati e spesso in qualche modo sostenuti da Stati nazionali come la Repubblica Popolare di Corea.
Secondo le ultime rilevazioni aggiornate a giugno 2025, gruppi di hacker riconducibili a questo Paese avrebbero sottratto criptovalute per un valore di 659 milioni di dollari solo nell’ultimo anno. Le stime delle Nazioni Unite parlano di un totale di 3,6 miliardi di dollari trafugati negli ultimi sette anni.
Questa minaccia, tuttavia, non riguarda soltanto il settore finanziario o le aziende che operano nel mondo delle criptovalute: interessa trasversalmente tutti i comparti industriali.
Indice degli argomenti
Minacce cybersecurity nel processo di selezione del personale
Oltre ai furti diretti, i cybercriminali cercano sempre più spesso di ottenere posizioni lavorative all’interno delle organizzazioni, perseguendo molteplici obiettivi: ricevere compensi legittimi da destinare al finanziamento dei regimi, raccogliere informazioni strategiche sulle attività aziendali, o individuare vulnerabilità che altri attori malevoli potranno sfruttare in un secondo momento.
Le aziende colpite subiscono danni economici ingenti e una perdita reputazionale difficile da recuperare. Nonostante il rafforzamento continuo delle misure tecniche di difesa, i criminali informatici puntano su strategie alternative che aggirano i controlli tradizionali. Una tecnica sempre più diffusa – ma spesso sottovalutata – consiste nell’infiltrarsi attraverso il processo di selezione del personale. Invece di forzare le barriere tecnologiche, gli hacker provano a entrare “dalla porta principale”, candidandosi per ruoli regolari all’interno dell’organizzazione. Così facendo, possono potenzialmente accedere a sistemi critici e dati riservati senza dover superare ulteriori ostacoli di sicurezza.
Infiltrazione cybersecurity nel recruiting: il caso kraken
Kraken, una delle principali piattaforme globali per lo scambio di criptovalute, ha recentemente individuato un tentativo di infiltrazione da parte di un hacker nordcoreano proprio durante un processo di recruiting.
L’incidente è iniziato quando il nostro team di sicurezza ha ricevuto segnalazioni dai partner del settore circa tentativi attivi di reclutamento da parte di attori nordcoreani nel mondo crypto, insieme a una lista di indirizzi email sospetti. Incrociando questi dati con i nostri archivi, abbiamo trovato una corrispondenza con un candidato che aveva presentato domanda per una posizione da ingegnere, utilizzando lo pseudonimo “Steven Smith”.
Invece di escludere subito il candidato, abbiamo deciso di proseguire il processo di selezione in modo controllato e sotto stretta osservazione. Questo approccio ci ha permesso di documentare le tattiche adottate dal malintenzionato e raccogliere informazioni preziose.
Tecniche di infiltrazione cybersecurity: analisi comportamentale e Osint
Con l’avanzare dei colloqui, sono emerse diverse incongruenze. Il candidato si è presentato al primo incontro con un nome diverso rispetto a quello indicato nel curriculum. Durante la telefonata, abbiamo notato cambiamenti nella voce che lasciavano intuire l’utilizzo di un supporto esterno in tempo reale.
A fronte di queste anomalie, il nostro team di sicurezza ha avviato un’approfondita analisi OSINT (Open Source Intelligence). Le indagini hanno rivelato che l’indirizzo email del candidato era collegato a una rete di identità false già impiegate per tentativi di infiltrazione in altre aziende. Una delle identità associate risultava addirittura inserita in una lista di sanzioni internazionali come agente straniero.
L’analisi tecnica ha evidenziato ulteriori elementi sospetti: uso di desktop remoti Mac combinati con VPN per mascherare la posizione reale, indirizzi email compromessi associati a profili pubblici e documenti di identità manipolati, probabilmente ottenuti tramite un furto d’identità avvenuto due anni prima.
Durante le fasi successive della selezione, abbiamo introdotto verifiche mirate. Ad esempio, nel colloquio finale, tenutosi il 31 ottobre, abbiamo sfruttato la ricorrenza di Halloween per inserire una domanda di controllo: alla menzione casuale dei festeggiamenti, il candidato ha mostrato una totale mancanza di familiarità con la cultura locale, un segnale rivelatore. Anche le domande sul luogo di residenza dichiarato – Houston, in Texas – hanno messo in difficoltà l’hacker, incapace di descrivere la città o suggerire attrazioni locali. Questi test hanno confermato i nostri sospetti.
Strategie aziendali contro infiltrazioni cybersecurity
Da questo episodio emergono importanti lezioni operative per le aziende. I processi di selezione devono essere considerati parte integrante della strategia di sicurezza aziendale. Alle valutazioni tecniche tradizionali vanno affiancate verifiche imprevedibili e in tempo reale, poiché l’AI generativa viene ormai utilizzata per superare i test standardizzati.
È fondamentale promuovere una cultura della sicurezza trasversale tra tutti i dipartimenti: i team HR devono essere formati per riconoscere schemi sospetti e le procedure di verifica devono essere aggiornate regolarmente per evitare che diventino prevedibili. Lo scambio di informazioni tra aziende sugli autori delle minacce può rafforzare significativamente la difesa collettiva.
Il panorama delle minacce evolve rapidamente. Gli hacker, in particolare quelli più vicini ad alcuni regimi, fanno sempre più affidamento su metodi di infiltrazione diretta. Una cybersecurity efficace richiede quindi un approccio olistico, che combini solide misure tecniche con la protezione dei processi umani.
Solo attraverso uno scambio aperto e una trasparenza reale sia possibile contrastare attacchi sempre più sofisticati.
Integrare i principi di sicurezza in tutte le aree aziendali è essenziale per individuare tempestivamente le minacce. Il principio cardine resta sempre lo stesso: “Non fidarti, verifica”. È questa la base di una strategia di sicurezza robusta, capace di resistere alle sfide di oggi e di domani.
