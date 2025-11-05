Operazioni di Sicurezza

Rilevare assunzioni fraudolente di cittadini nordcoreani: un manuale per i CISO

Un criminale nordcoreano ha fatto domanda per una posizione nella tua organizzazione o è stato persino assunto? Mettiamo a disposizione un toolkit per aiutarti a individuare e prevenire questo rischio
Scritto da , , , , , ,
5 Novembre 2025
Security Operations CISO featured North Korea playbook toolkit

Il North Korean worker scheme si è esteso fino a diventare una minaccia globale. Sebbene inizialmente fosse concentrato sulle aziende tecnologiche statunitensi, oggi si è diffuso in altre regioni e settori, tra cui finanza, sanità e pubblica amministrazione. Qualsiasi azienda che assuma lavoratori da remoto è a rischio; in quanto azienda tecnologica “remote-first”, persino Sophos è stata presa di mira da operatori sponsorizzati dallo Stato nordcoreano che si fingevano professionisti IT.

Valutare il rischio

Gli aggressori prendono di mira posizioni completamente da remoto e ben retribuite, con l’obiettivo principale di ottenere uno stipendio da destinare agli interessi del governo nordcoreano. Di solito fanno domanda per ruoli di ingegneria del software, sviluppo web, intelligenza artificiale/machine learning, data science e cybersecurity, anche se nel tempo hanno ampliato il raggio ad altri ambiti.

Le organizzazioni in cui sono infiltrati questi criminali affrontano numerosi rischi. L’assunzione di lavoratori nordcoreani può comportare la violazione di sanzioni internazionali. Inoltre, tali personaggi potrebbero compiere attività tipiche delle minacce interne, come accessi non autorizzati e furti di dati sensibili. I lavoratori fraudolenti possono inoltre incrementare le proprie entrate ricorrendo a minacce di esposizione dei dati per ricattare l’organizzazione, specialmente dopo essere stati licenziati.

Come possiamo aiutare

Abbiamo perfezionato un’iniziativa interna che adotta un approccio trasversale per affrontare questa minaccia. Durante questo processo, abbiamo scoperto che esiste una grande quantità di indicazioni difensive a disposizione delle organizzazioni. Tuttavia, raccoglierle in un insieme coerente e realmente attuabile di controlli ha richiesto un notevole sforzo. Per i difensori, sapere che cosa fare è spesso semplice. La vera sfida è capire come farlo.

Chiunque abbia implementato dei controlli sa che ciò che sembra semplice sulla carta può rapidamente trasformarsi in una sfida progettuale complessa, soprattutto quando si mira a soluzioni scalabili, pratiche e sostenibili. Abbiamo quindi deciso di pubblicare un playbook per supportare altre organizzazioni nel gestire questa minaccia. Nello sviluppare questi materiali, abbiamo dato priorità alla specificità rispetto alla ampia applicabilità. I controlli si basano sulle best practice, sui nostri processi interni e sull’intelligence sulle minacce raccolta dai nostri ricercatori di sicurezza, che monitorano le tattiche, le tecniche e le procedure (TTP) utilizzate dagli aggressori nordcoreani.

Il playbook include un toolkit che contiene due versioni di una matrice di controllo (una statica e una “pronta per il project manager”), una guida all’implementazione e delle slide per la formazione. Abbiamo suddiviso la matrice di controllo in otto categorie che coprono l’intero ciclo, dall’acquisizione del personale fino al post-assunzione:

  • Controlli HR e di processo
  • Colloqui e selezione
  • Identità e verifica
  • Banche, pagamenti e finanza
  • Sicurezza e monitoraggio
  • Terze parti e agenzie di collocamento
  • Formazione
  • Threat hunting

La matrice elenca controlli tecnici e procedurali, poiché evitare o rimuovere lavoratori nordcoreani fraudolenti non è soltanto – e nemmeno principalmente – una questione tecnologica. La soluzione richiede collaborazione tra team interni come HR, IT, legale, finanza e cybersecurity, oltre che con fornitori e consulenti esterni. La versione “project manager-ready” include ulteriori fogli di lavoro per generare tabelle pivot che riflettano lo stato e la titolarità dei controlli. I fogli di lavoro contengono dati precompilati per illustrare le funzionalità.

Alcuni di questi controlli potrebbero non essere appropriati per tutte le organizzazioni, ma offriamo questo toolkit come risorsa di riferimento. Invitiamo le organizzazioni ad adattare le raccomandazioni in base ai propri ambienti e ai modelli di minaccia specifici.

Accedi subito al toolkit.

 

 

L’autore

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Rafe Pilling
L’autore

Rafe Pilling is a Director of Threat Intelligence in the Sophos Counter Threat Unit (CTU). He leads global threat intelligence production within the CTU, where he oversees all-source analysis focused on advanced cybercriminal and state-sponsored threats. This threat intelligence directly informs and supports organizations worldwide in strengthening security operations, guiding incident response, and shaping strategic cyber-risk decisions.

Sarah Kern
L’autore

Sarah Kern is a security researcher, specializing in North Korean and emerging threats, in the Sophos Counter Threat Unit (CTU). With deep expertise in state-sponsored cyber adversaries, Sarah plays a critical role in identifying, analyzing, and mitigating sophisticated threats originating from North Korea and other advanced persistent threat groups.

L’autore

Angela Gunn is a senior threat researcher in Sophos X-Ops. As a journalist and columnist for two decades, her outlets included USA Today, PC Magazine, Computerworld, and Yahoo Internet Life. Since morphing into a full-time technologist, she has focused on incident response, privacy, threat modeling, GRC, OSINT, and security training at companies including Microsoft, HPE, BAE AI, and SilverSky.

L’autore

Jane Adams is a Principal Threat Researcher at Sophos. Before joining Sophos, she worked in security research at Secureworks, following 20+ years as a journalist and PR in the fintech and cards sectors.

L’autore

Mindi McDowell is a Senior Threat Researcher in Sophos X-Ops. She holds a master's degree in professional writing from Carnegie Mellon University and began her cybersecurity career at the CERT Coordination Center, based at Carnegie Mellon University's Software Engineering Institute. She later joined Secureworks, where she was a member of the Counter Threat Unit (CTU).

Ryan Westman
L’autore

Ryan Westman is a Senior Manager of Threat Research at Sophos. With over a decade of experience in cybersecurity and national security, Ryan specializes in threat intelligence and operations. He has led high-performing teams across government, Big Four consulting, and the MDR space. Ryan has provided expert commentary to leading media outlets and spoken at major national and international conferences, including DEFCON, RMISC, Sleuthcon, ILTACon, and Evanta CISO events. He holds multiple degrees and industry certifications (GCTI, GCFA, GSLC) and is passionate about protecting organizations from foreign and domestic cyber threats.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *