Come la Corea del Nord ha trasformato 6.000 hacker in una macchina da miliardi
In vent’anni Pyongyang ha costruito un apparato di cyberguerra che genera miliardi tra furti di criptovalute, spionaggio e infiltrazioni nelle aziende tech. Ecco come ha fatto
La Corea del Nord aveva un problema: la sua economia non cresceva e mancavano i soldi per sostenere il regime (e il programma di armamenti). La risposta? Allevare una generazione di hacker pronti a tutto per Kim Jong-un
Nello speciale di questa settimana vi raccontiamo nel dettaglio come ha fatto uno Stato a creare la più grande banda di cyber-rapinatori al mondo
Immaginate uno Stato che ha trasformato l’hacking “cattivo”, quello fatto dai black hat, in un’industria nazionale strutturata e militarizzata. È la Corea del Nord che, con Lazarus Group e altre unità di élite, genera miliardi rubando criptovalute in tutto il mondo (2 miliardi solo nel 2025) per aggirare le sanzioni dell’Onu, finanziare la costruzione di missili nucleari e potenziare le sue capacità di fare una cyber-guerra asimmetrica che spaventa Wall Street e Seoul.
Pyongyang con l’hacking di Stato ha costruito un’intera economia clandestina dove, secondo le nostre analisi, circa 6.000 hacker formati fin da bambini per essere estremamente dotati per fare incursioni digitali, producono una fetta del prodotto interno lordo superiore all’export legale del paese. Gli hacker della Corea del Nord non sono solo una minaccia cibernetica ma anche un modello distorto di “digital economy statale“. E la loro storia, poi, è veramente incredibile.
Una struttura militare per il furto digitale
Al vertice di tutto c’è il Reconnaissance General Bureau (RGB), il servizio di intelligence militare di Pyongyang, che il Dipartimento del Tesoro degli Stati Uniti ha formalmente designato come entità controllata dal governo nordcoreano. Sotto il RGB operano unità distinte con specializzazioni precise: il famigerato Bureau 121 e il 3rd Technical Surveillance Bureau coordinano le operazioni tecniche, mentre Lazarus Group, attivo dal 2007 e subordinato al 110th Research Center, gestisce le missioni più articolate, che spaziano dallo spionaggio ai malware distruttivi. Bluenoroff concentra le risorse sulle rapine finanziarie, Andariel invece colpisce le infrastrutture governative e militari sudcoreane.
Gli hacker non operano da Pyongyang: basi in Cina, Russia e nel Sud-Est asiatico servono a mascherare l’origine degli attacchi. Kim Jong-un ha definito questo apparato “una spada multiuso“ accanto all’arsenale nucleare e missilistico, una formula che spiega con precisione brutale la logica strategica del programma.
Il prodotto interno lordo del crimine
I numeri sono, per usare un eufemismo, impressionanti. Dal 2017 al 2023, secondo le stime delle Nazioni Unite, i gruppi nordcoreani hanno sottratto complessivamente circa 3 miliardi di dollari in criptovalute attraverso 58 attacchi documentati. Nel 2025 il ritmo si è intensificato: 2 miliardi di dollari rubati, pari al 60% del totale globale dei furti in criptovaluta di quell’anno, con un aumento del 51% rispetto al 2024.
Il Dipartimento del Tesoro Usa ha stimato che tra il 2017 e il 2023 i proventi del cybercrimine nordcoreano hanno coperto oltre la metà dei costi del programma missilistico e nucleare del Paese. È una cifra che trasforma il furto digitale in una voce del PIL nella parte del bilancio militare, non in una semplice attività criminale. Il Dipartimento di Giustizia americano li ha definiti “i principali rapinatori bancari del ventunesimo secolo”.
Dall’università al Bureau 121
La formazione degli hacker nordcoreani inizia molto prima dell’età adulta. Le reclute più promettenti vengono identificate nelle scuole elementari e avviate verso istituti specializzati, tra cui il Mirim College, che prepara tecnici e analisti per le operazioni cyber dello Stato. Non è un percorso improvvisato: è un sistema di selezione e addestramento strutturato, pensato per produrre operatori altamente qualificatiin quantità sufficiente da sostenere un programma che, secondo le stime più accreditate che abbiamo potuto visionare, impiega oltre 6.000 unità attive.
Questa forza lavoro è relativamente piccola rispetto a quella degli apparati analoghi di Cina o Russia, ma estremamente specializzata. La struttura militare del programma, con risorse limitate ma concentrate, spinge verso una logica di massimizzazione del rendimento per ogni singola operazione: pochi colpi, ma devastanti.
I casi che hanno fatto la storia
La lista degli attacchi attribuiti ai gruppi nordcoreani è lunga e comprende alcune delle operazioni più clamorose della storia della cyber-sicurezza. Nel 2014 Lazarus Group ha violato i server di Sony Pictures, sottraendo email degli executive, film non ancora distribuiti e dati sensibili. Come mai? Era la risposta voluta dal Piccolo Leader all’uscita di una commedia satirica sul regime di Kim Jong-un. L’Fbi ha attribuito formalmente l’attacco al RGB.
Nel 2016 Bluenoroff ha tentato di sottrarre 851 milioni di dollari dalla Federal Reserve di New York attraverso il sistema interbancario Swift, riuscendo a portare via 80 milioni prima che un errore di battitura in una delle istruzioni di trasferimento insospettisse le banche intermediarie. Nel 2017 WannaCry, il ransomware sviluppato da Lazarus, ha infettato oltre 300mila computer in 150 paesi, paralizzando tra l’altro il Servizio sanitario nazionale britannico, con un costo stimato di 112 milioni di sterline e 19mila appuntamenti medici cancellati.
Poi, nel febbraio 2025, il colpo più grande di sempre: 1,5 miliardi di dollari sottratti all’exchange di criptovalute Bybit in una singola operazione, attribuita dall’Fbi al gruppo noto come TraderTraitor, collegato alla Corea del Nord.
Meno attacchi, bottini enormi
Il 2025 ha segnato un cambiamento tattico significativo. Chainalysis, la società specializzata nell’analisi delle transazioni blockchain, ha documentato che il numero di attacchi nordcoreani è diminuito del 74% rispetto agli anni precedenti, mentre il valore medio di ciascun colpo è aumentato in modo sproporzionato. Il furto a Bybit da solo ha rappresentato circa tre quarti dell’intero bottino dell’anno.
La spiegazione è di natura economica e operativa insieme. Preparare un attacco di grande scala richiede mesi, a volte anni: infiltrare un’azienda attraverso un lavoratore IT con identità falsa, ottenere privilegi di accesso elevati, comprendere i flussi interni e i sistemi di custodia, organizzare l’esfiltrazione. Una volta costruita questa catena di infiltrazione, ha più senso per Pyongyang concentrarla su obiettivi che custodiscono volumi enormi piuttosto che ripetere operazioni più piccole e rumorose. Le piattaforme decentralizzate, bersagli frequenti negli anni precedenti, hanno nel frattempo alzato i propri standard di sicurezza; il punto debole si è spostato verso i grandi exchange centralizzati, dove la vulnerabilità non è nel codice ma nei processi operativi interni.
Il lavoratore IT fantasma
La novità strutturale più preoccupante emersa nel 2025 è l’uso sistematico di lavoratori informatici nordcoreani infiltrati nelle aziende tech occidentali. Migliaia di sviluppatori operano con identità rubate o false, candidandosi come freelance o lavoratori da remoto per aziende del settore crypto e fintech. Una volta assunti, possono accedere a repository di codice, influenzare configurazioni di sicurezza, introdurre backdoor o raccogliere informazioni utili per attacchi successivi.
Il Dipartimento di Giustizia americano ha risposto con l’iniziativa “Dprk RevGen: Domestic Enabler Initiative“, lanciata nel novembre 2025, che prende di mira non solo gli hacker ma anche i cittadini statunitensi che affittano le proprie identità a lavoratori nordcoreani, consentendo loro di percepire stipendi da aziende Usa. In un caso documentato, questi schemi hanno prodotto oltre 1,28 milioni di dollari in pagamenti, di fatto finiti nelle casse di strutture legate a Pyongyang.
La risposta che cambia forma
Gli Stati Uniti hanno risposto con più strumenti: sanzioni del Tesoro nel 2019 contro i principali gruppi, incriminazioni del Dipartimento di Giustizia (la prima contro il presunto membro di Lazarus Park Jin Hyok nel 2018), alert congiunti di Fbi e Cisa. Nel 2025 il Dipartimento di Giustizia ha annunciato il sequestro di oltre 15 milioni di dollari in criptovalute collegate ad attacchi del gruppo Apt38, una frazione del bottino totale ma un segnale preciso sulla capacità di tracciamento dei flussi post-furto.
Il caso Bybit ha accelerato il tentativo di risposta negli Usa: think tank come il Center for Strategic and International Studies (Csis) usano l’episodio come argomento per classificare i grandi exchange come infrastrutture critiche, soggette agli stessi standard di sicurezza del settore bancario tradizionale. Chainalysis sottolinea che l’analisi on-chain e il coordinamento internazionale tra forze dell’ordine sono diventati strumenti sempre più efficaci nel contenere l’impatto dei furti, specie quando sono concentrati in pochi episodi ad altissima visibilità. La partita, comunque, è ancora aperta.
Altre cose successe in settimana
Il processo del secolo?
Il 27 aprile 2026 è iniziato a Oakland, in California, lo storico processo che vede contrapposti Elon Musk e Sam Altman, CEO di OpenAI. Al centro della disputa legale c’è l’accusa di Musk secondo cui Altman avrebbe tradito la missione “no-profit” originaria della startup, trasformandola in una società orientata al profitto sotto l’influenza di Microsoft. Mentre Musk chiede risarcimenti miliardari denunciando la violazione dei patti fondativi, OpenAI respinge le accuse definendole mosse da gelosia commerciale verso il successo di ChatGPT. A seconda di chi vince, potrebbe cambiare la storia di OpenAI e dell’AI in generale.
Qui una volta era tutta campagna
Un’analisi dei dati dell’Internet Archive stima che, nei 30 mesi che vanno da quando è stato lanciato ChatGPT nel novembre 2022 alla metà del 2025, circa il 35% di tutti i nuovi siti web lanciati è stato in qualche modo generato dall’intelligenza artificiale, contribuendo a una crescente “omogeneizzazione” dei contenuti in rete. I ricercatori evidenziano inoltre che il web sta diventando “sempre più standardizzato” in maniera molto aggressiva, alimentando i timori legati alla “Dead Internet Theory“ e trasformando il web in una “cassa di risonanza automatizzata”.
Q-Day 30
Il quantum computing sta entrando in una fase cruciale: tra il 2026 e il 2029 si punta finalmente alla stabilità operativa. Sebbene siamo ancora nell’era NISQ (sistemi con qubit rumorosi e soggetti a errori, non ancora perfetti), l’accensione a Torino del primo computer quantistico IQM un anno fa ha segnato una svolta storica per l’Italia, posizionandola tra i leader globali della ricerca sul QC. Con processori da oltre 1.000 qubit e l’accesso via cloud, la sfida resta la correzione degli errori in vista del “Q-Day“ del 2030 quando, secondo gli esperti, la tecnologia rivoluzionerà finanza, chimica e sicurezza informatica.
La storia degli hacker
Il libro di questa settimana è stato pubblicato nel 2024. In Hacker. Storie di uomini e macchine, Alessandro Curioni analizza la metamorfosi della figura dell’hacker: da pioniere della cultura degli scienziati del MIT a sinonimo di criminalità informatica. Attraverso le storie di geni come Steve Wozniak e delinquenti come Vladimir Levin, Curioni racconta il passaggio dall’etica del libero accesso al moderno cybercrime. Un saggio essenziale per capire come la ricerca della conoscenza si sia trasformata nella minaccia globale a sicurezza e privacy che conosciamo oggi.