Per anni, la Corea del Nord ha segretamente inserito giovani informatici nelle aziende occidentali. Con l’intelligenza artificiale, i loro piani sono ora più subdoli ed efficaci che mai
Sulla carta, Il primo candidato sembrava perfetto. Thomas proveniva dal Tennessee rurale e aveva studiato informatica all’Università del Missouri. Il suo curriculum diceva che era un programmatore professionista da otto anni e che aveva superato brillantemente un test preliminare di programmazione . Tutto ciò era un’ottima notizia per il potenziale capo di Thomas, Simon Wijckmans, fondatore della startup di sicurezza web C.Side. Il ventisettenne belga viveva a Londra, ma era alla ricerca di programmatori ambiziosi che lavorassero da remoto .
Thomas aveva un cognome anglosassone, quindi Wijckmans rimase sorpreso quando accese al suo Google Meet e si ritrovò a parlare con un giovane di origine asiatica con un forte accento. Thomas aveva impostato come sfondo l’immagine generica di un ufficio. La sua connessione internet era lenta – strano per un programmatore professionista – e il suo interlocutore era rumoroso. A Wijckmans, Thomas dava l’impressione di essere seduto in un ampio spazio affollato, forse un dormitorio o un call center.
The Big Story Newsletter: Approfondimenti avvincenti
Le nostre analisi più approfondite e le funzionalità all’avanguardia che ti renderanno più intelligente e brillante. Consegnato la domenica.Iscrizione
Registrandoti, accetti il nostro contratto d’uso (incluse le disposizioni sulla rinuncia ad azioni collettive e sull’arbitrato ) e riconosci la nostra politica sulla privacy .
Wijckmans scagliò le sue domande per il colloquio e le risposte di Thomas furono abbastanza convincenti. Ma Wijckmans notò che Thomas sembrava più interessato a chiedere del suo stipendio. Non sembrava curioso del lavoro vero e proprio, né di come funzionava l’azienda, né di benefit come le azioni della startup o l’assicurazione sanitaria. Strano, pensò Wijckmans. La conversazione si concluse e lui si preparò per il colloquio successivo.
Ancora una volta, il candidato ha affermato di risiedere negli Stati Uniti, di avere un nome anglosassone e di apparire come un giovane asiatico con un forte accento non americano. Utilizzava un background virtuale di base, aveva una connessione internet pessima ed era concentrato unicamente sullo stipendio. Questo candidato, tuttavia, indossava degli occhiali. Nelle lenti, Wijckmans ha notato il riflesso di diversi schermi e ha potuto distinguere una chat bianca con messaggi che scorrevano. “Stava chiaramente chattando con qualcuno o utilizzando qualche strumento di intelligenza artificiale”, ricorda Wijckmans.
In stato di massima allerta, Wijckmans acquisì screenshot e prese appunti. Al termine della chiamata, controllò nuovamente le candidature. Scoprì che gli annunci della sua azienda erano inondati di candidature proprio come queste: una posizione aperta per uno sviluppatore full-stack aveva ricevuto più di 500 candidature in un giorno, molto più del solito. E quando analizzò più a fondo i test di programmazione dei candidati, notò che molti sembravano aver utilizzato una rete privata virtuale, o VPN, che consente di mascherare la vera posizione del computer.
Wijckmans non lo sapeva ancora, ma si era imbattuto ai margini di un’audace operazione di criminalità informatica globale . Era entrato inconsapevolmente in contatto con un esercito di lavoratori IT apparentemente modesti, impiegati a lavorare da remoto per aziende americane ed europee sotto false identità, il tutto per finanziare il governo della Corea del Nord .
Naturalmente, con un piccolo aiuto da parte di alcuni amici sul campo.
Annuncio
Christina Chapman Viveva in una roulotte a Brook Park, in Minnesota, un villaggio a nord di Minneapolis, quando ricevette un messaggio da un reclutatore che le cambiò la vita. 44enne vivace, con i capelli rossi ricci e gli occhiali, amava i suoi cani, sua madre e pubblicare contenuti di giustizia sociale su TikTok. Nel tempo libero ascoltava K-pop, si divertiva alle fiere rinascimentali e si dedicava al cosplay. Chapman stava anche imparando a programmare online, stando al suo scarso curriculum vitae online.
Era marzo 2020 quando cliccò sul messaggio sul suo account LinkedIn. Un’azienda straniera cercava qualcuno che “rappresentasse l’immagine americana” dell’azienda. L’azienda aveva bisogno di aiuto per trovare lavoro da remoto per i lavoratori stranieri. Chapman accettò. Non è chiaro quanto velocemente il suo carico di lavoro sia cresciuto, ma nell’ottobre 2022 poteva permettersi di trasferirsi dal freddo Minnesota a una casa bassa con quattro camere da letto a Litchfield Park, in Arizona. Non era un lusso – un lotto d’angolo in periferia con qualche albero rado – ma era un bel passo avanti rispetto alla roulotte.
La pandemia ha fatto aumentare drasticamente il numero di lavori da remoto e Pyongyang ha colto l’opportunità perfetta.
Chapman ha poi iniziato a documentare la sua vita su TikTok e YouTube, parlando principalmente di dieta, fitness e salute mentale. In un video sdolcinato, condiviso nel giugno 2023, descriveva la sua colazione al volo – una ciotola di açaí e un frullato – perché il lavoro la teneva impegnata. “I miei clienti stanno impazzendo!”, si lamentava. Sullo sfondo, la telecamera ha inquadrato scaffali metallici con almeno una dozzina di laptop aperti e ricoperti di post-it. Pochi mesi dopo, gli investigatori federali hanno fatto irruzione in casa di Chapman, sequestrato i laptop e infine sporto denuncia, sostenendo che avesse trascorso tre anni a supportare le “attività di generazione di entrate illecite” del governo della Corea del Nord.
Per circa un decennio, i servizi segreti nordcoreani hanno formato giovani informatici e li hanno inviati all’estero in team, spesso in Cina o Russia. Da queste basi, scandagliano il web alla ricerca di annunci di lavoro ovunque, solitamente nel settore dell’ingegneria del software e presso aziende occidentali. Prediligono ruoli completamente da remoto, con stipendi elevati, un buon accesso a dati e sistemi e poche responsabilità. Col tempo, hanno iniziato a candidarsi per questi lavori utilizzando identità rubate o false e affidandosi ai membri delle loro squadre criminali per fornire referenze fittizie; alcuni hanno persino iniziato a utilizzare l’intelligenza artificiale per superare test di programmazione, videocolloqui e controlli dei precedenti.
Ma se un candidato riceve un’offerta di lavoro, il sindacato ha bisogno di qualcuno sul campo nel paese in cui il candidato dichiara di vivere. Un dipendente finto, dopotutto, non può usare gli indirizzi o i conti bancari collegati ai suoi documenti d’identità rubati, né può connettersi alle reti aziendali dall’estero senza destare immediatamente sospetti. È qui che entra in gioco qualcuno come Christina Chapman.
In qualità di “facilitatrice” di centinaia di posti di lavoro legati alla Corea del Nord, Chapman firmava documenti falsi e gestiva alcuni degli stipendi falsi dei lavoratori. Spesso riceveva i loro assegni su uno dei suoi conti bancari, ne prendeva una parte e trasferiva il resto all’estero: i procuratori federali affermano che a Chapman veniva promesso fino al 30% del denaro che le passava per le mani.
Il suo lavoro più importante, tuttavia, era occuparsi della “fattoria di laptop”. Dopo essere stato assunto, un finto dipendente in genere chiede che il suo computer aziendale venga inviato a un indirizzo diverso da quello registrato, di solito con la scusa di un trasloco dell’ultimo minuto o della necessità di stare con un parente malato. Il nuovo indirizzo, ovviamente, appartiene al facilitatore, in questo caso Chapman. A volte il facilitatore inoltra il laptop a un indirizzo all’estero, ma più comunemente quella persona lo conserva e installa un software che ne consente il controllo a distanza. In questo modo, il finto dipendente può connettersi al proprio computer da qualsiasi parte del mondo, fingendo di essere negli Stati Uniti. (“Sai come installare Anydesk?” chiese un agente nordcoreano a Chapman nel 2022. “Lo faccio praticamente OGNI GIORNO!”, rispose lei.)
Nei messaggi con i suoi referenti, Chapman ha discusso dell’invio di moduli governativi come l’I-9, che attesta che una persona è legalmente autorizzata a lavorare negli Stati Uniti. (“Ho fatto del mio meglio per copiare la tua firma”, ha scritto. “Ahah. Grazie”, è stata la risposta). Si occupava anche di risoluzione di problemi tecnici di base e si collegava a riunioni per conto di un lavoratore, a volte con breve preavviso, come in questa conversazione del novembre 2023:
Lavoratore: Tra 20 minuti avremo una riunione per la configurazione del portatile. Puoi partecipare alla riunione di Teams e seguire quello che dice l’esperto IT? Perché richiederà di riavviare il portatile più volte e non posso gestirlo. Puoi disattivare l’audio e seguire semplicemente quello che dicono…
Chapman: Chi dico di essere?
Lavoratore: Non c’è bisogno che lo dica, mi unisco anch’io.
Chapman: Ho appena digitato il nome Daniel. Se ti chiedono PERCHÉ stai usando due dispositivi, di’ semplicemente che il microfono del tuo portatile non funziona correttamente… La maggior parte degli informatici accetta questa spiegazione.
A volte, si agitava. “Spero che possiate trovare altre persone che vi facciano i controlli fisici con i moduli I9”, scrisse ai suoi capi nel 2023, secondo i documenti del tribunale. “Ve li MANDERÒ, ma fate fare la documentazione a qualcun altro. Posso finire in una PRIGIONE FEDERALE per falsificazione di documenti federali”. Michael Barnhart, investigatore presso l’azienda di sicurezza informatica DTEX e uno dei massimi esperti della minaccia rappresentata dai lavoratori informatici nordcoreani, afferma che il coinvolgimento di Chapman ha seguito uno schema standard: da un innocuo contatto iniziale su LinkedIn a richieste sempre più insistenti. “A poco a poco, le richieste diventano sempre più numerose”, afferma. “Poi, alla fine della giornata, si chiede al facilitatore di recarsi in una struttura governativa per ritirare un documento d’identità valido”.
