Negli ultimi mesi abbiamo raccontato come la Corea del Nord stia sfruttando in modo sistematico il lavoro da remoto per infiltrare aziende occidentali, aggirare le sanzioni internazionali e raccogliere valuta pregiata.
Un meccanismo rodato che passa da identità fittizie, curriculum credibili e intermediari locali, e che ha già coinvolto centinaia di imprese, comprese realtà di primo piano del panorama tecnologico globale.
Non si tratta di casi isolati ma di una strategia strutturata, finalizzata a convogliare risorse economiche verso Pyongyang, inclusi i programmi militari del regime.
L’infiltrato in Amazon
Il caso emerso in Amazon nelle ultime settimane si inserisce esattamente in questo quadro, aggiungendo un dettaglio che rende la vicenda ancora più istruttiva.
L’azienda non ha assunto direttamente il lavoratore nordcoreano: l’accesso è avvenuto tramite un contractor esterno, a cui era stato spedito un computer aziendale.
È qui che i controlli interni hanno iniziato a vedere qualcosa che non tornava. I sistemi di monitoraggio sul laptop hanno infatti generato un alert per attività anomale e, guardando più da vicino, è emerso un indizio minuscolo ma rivelatore.
I dati di battitura di un lavoratore, che ufficialmente risedeva negli Stati Uniti, avrebbero dovuto raggiungere Seattle in poche decine di millisecondi; invece il ritardo superava i 110 millisecondi, un valore compatibile con una connessione instradata dall’altra parte del mondo.
La base in Cina
A quel punto Amazon ha verificato che la macchina veniva controllata da remoto e ha tracciato il traffico fin dove è stato tecnicamente possibile, ossia fino in Cina. Ciò non indicava l’origine dell’operazione ma lo snodo intermedio: i lavoratori IT nordcoreani non operano infatti direttamente dal Paese, ma instradano le connessioni attraverso reti estere. Spesso in Cina o nel Sud-est asiatico, per mascherare la provenienza reale.
Questo, insieme agli altri indizi, ha rafforzato la convinzione che l’operatore non si trovasse affatto dove dichiarava.
Accanto agli indicatori tecnici, sono poi emersi anche segnali più sottili ma ricorrenti, già noti agli investigatori che si occupano di questo fenomeno. Ci riferiamo a percorsi di studio e lavoro sorprendentemente simili ad altri casi riconducibili alla Corea del Nord, spesso legati a società di consulenza estere difficili da verificare, e a difficoltà nell’uso dell’inglese, in particolare con articoli e termini tipicamente americani.
Si tratta di elementi che presi singolarmente potrebbero passare inosservati, ma che inseriti in un contesto più ampio sono diventati indizi coerenti.
Un problema sempre più sofisticato
A completare il quadro c’è anche il ruolo degli intermediari occidentali. Secondo quanto emerso, la persona che operava per conto della Corea del Nord era una donna residente in Arizona, successivamente condannata per aver facilitato l’inserimento di lavoratori IT fraudolenti all’interno di aziende statunitensi.
Ciò mostra come l’infrastruttura dell’inganno non sia confinata all’estero ma si appoggi a nodi logistici e umani pienamente integrati negli Stati Uniti.
Il caso Amazon, quindi, non fa che rafforzare quanto avevamo già messo in evidenza: l’infiltrazione nordcoreana nel mercato del lavoro tecnologico occidentale è un problema reale, in crescita e sempre più sofisticato, capace di colpire anche organizzazioni dotate di apparati di sicurezza avanzati.
E conferma come oggi la linea di difesa non passi solo da controlli documentali o formali, ma da una lettura attenta di segnali tecnici e comportamentali che, messi insieme, raccontano storie spesso diverse da quelle dichiarate.
Fonte: Bloomberg
