• CoinDesk ha identificato più di una dozzina di aziende di criptovalute che hanno inconsapevolmente assunto personale IT dalla Repubblica Popolare Democratica di Corea (RPDC), tra cui progetti blockchain consolidati come Injective, ZeroLend, Fantom, Sushi, Yearn Finance e Cosmos Hub.

  • I lavoratori hanno utilizzato documenti d'identità falsi, hanno superato con successo i colloqui, hanno superato i controlli delle referenze e hanno presentato storie lavorative autentiche.

  • L'assunzione di lavoratori della RPDC è contro la legge negli Stati Uniti e in altri paesi che sanzionano la Corea del Nord. Presenta anche un rischio per la sicurezza: CoinDesk ha riscontrato diversi esempi di aziende che assumevano lavoratori IT della RPDC e che successivamente venivano hackerate.

  • "Tutti stanno lottando per escludere queste persone", ha affermato Zaki Manian, un importante sviluppatore di blockchain che afferma di aver inavvertitamente assunto due dipendenti IT della RPDC per aiutarli a sviluppare la blockchain di Cosmos Hub nel 2021.

Nel 2023, la società di criptovalute Truflation era ancora nelle sue fasi iniziali quando il fondatore Stefan Rust assunse inconsapevolmente il suo primo dipendente nordcoreano.

"Eravamo sempre alla ricerca di buoni sviluppatori", ha detto Rust dalla sua casa in Svizzera. All'improvviso, "questo sviluppatore ha tagliato il traguardo".

"Ryuhei" ha inviato il suo curriculum su Telegram e ha affermato di essere basato in Giappone. Poco dopo la sua assunzione, hanno iniziato a emergere strane incongruenze.

A un certo punto, "Sto parlando con il tizio, e lui ha detto che era in un terremoto", ha ricordato Rust. Solo che non c'era nessun terremoto recente in Giappone. Poi il dipendente ha iniziato a perdere le chiamate, e quando si è presentato, "non era lui", ha detto Rust. "Era qualcun altro". Chiunque fosse aveva eliminato l'accento giapponese.

Rust avrebbe presto scoperto che "Ryuhei" e altri quattro dipendenti, più di un terzo dell'intero team, erano nordcoreani. Senza saperlo, Rust era caduto preda di un piano coordinato dalla Corea del Nord per garantire lavori all'estero per la sua gente e incanalare i guadagni verso Pyongyang.

Le autorità statunitensi hanno intensificato di recente i loro avvertimenti sul fatto che i lavoratori nordcoreani dell'informatica (IT) si stanno infiltrando nelle aziende tecnologiche, compresi i datori di lavoro delle criptovalute, e stanno utilizzando i proventi per finanziare il programma di armi nucleari dello stato paria. Secondo un rapporto delle Nazioni Unite del 2024, questi lavoratori IT rastrellano fino a 600 milioni di dollari all'anno per il regime di Kim Jon Un.

Assumere e pagare i lavoratori, anche inavvertitamente, viola le sanzioni delle Nazioni Unite ed è illegale negli Stati Uniti e in molti altri paesi. Presenta inoltre un grave rischio per la sicurezza, perché è noto che gli hacker nordcoreani prendono di mira le aziende tramite lavoratori sotto copertura.

Un'indagine di CoinDesk rivela ora con quanta aggressività e frequenza i candidati nordcoreani hanno preso di mira in particolare le aziende di criptovalute, superando con successo i colloqui, superando i controlli delle referenze e persino presentando impressionanti cronologie di contributi di codice sul repository software open source GitHub.

CoinDesk ha parlato con più di una dozzina di aziende di criptovalute che hanno dichiarato di aver assunto inavvertitamente personale IT dalla Repubblica Popolare Democratica di Corea (RPDC), come viene chiamata ufficialmente la nazione.

Queste interviste con fondatori, ricercatori di blockchain ed esperti del settore rivelano che i lavoratori IT nordcoreani sono molto più diffusi nel settore delle criptovalute di quanto si pensasse in precedenza. Praticamente ogni responsabile delle assunzioni contattato da CoinDesk per questa storia ha ammesso di aver intervistato presunti sviluppatori nordcoreani, di averli assunti inconsapevolmente o di aver conosciuto qualcuno che lo aveva fatto.

"La percentuale dei curriculum in arrivo, o delle persone che chiedono lavoro o vogliono contribuire, o cose del genere, che probabilmente provengono dalla Corea del Nord è superiore al 50% nell'intero settore delle criptovalute", ha affermato Zaki Manian, un importante sviluppatore di blockchain che afferma di aver assunto inavvertitamente due dipendenti IT della RPDC per aiutare a sviluppare la blockchain di Cosmos Hub nel 2021. "Tutti stanno lottando per filtrare queste persone".

Tra gli inconsapevoli datori di lavoro della DPRK identificati da CoinDesk c'erano diversi progetti blockchain consolidati, come Cosmos Hub, Injective, ZeroLend, Fantom, Sushi e Yearn Finance. "Tutto questo è accaduto dietro le quinte", ha affermato Manian.

Questa indagine segna la prima volta in cui una di queste aziende ha ammesso pubblicamente di aver assunto inavvertitamente dipendenti IT della RPDC.

In molti casi, i lavoratori nordcoreani svolgevano il loro lavoro proprio come i normali dipendenti; quindi, in un certo senso, i datori di lavoro ottenevano principalmente ciò per cui erano stati pagati. Ma CoinDesk ha trovato prove di lavoratori che successivamente hanno incanalato i loro stipendi verso indirizzi blockchain collegati al governo nordcoreano.

L'indagine di CoinDesk ha anche rivelato diversi casi in cui progetti di criptovaluta che impiegavano lavoratori IT della RPDC sono poi caduti vittime di hack. In alcuni di quei casi, CoinDesk è stata in grado di collegare le rapine direttamente a presunti lavoratori IT della RPDC nel libro paga di un'azienda. Questo è stato il caso di Sushi, un importante protocollo di finanza decentralizzata che ha perso 3 milioni di dollari in un incidente di hacking nel 2021.

L'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti e il Dipartimento di Giustizia hanno iniziato a rendere pubblici i tentativi della Corea del Nord di infiltrarsi nel settore delle criptovalute degli Stati Uniti nel 2022. CoinDesk ha scoperto prove che i dipendenti IT della RPDC avevano iniziato a lavorare presso aziende di criptovalute sotto false identità ben prima di allora, almeno a partire dal 2018.

"Molte persone, credo, hanno l'impressione sbagliata che si tratti di qualcosa di nuovo che è successo all'improvviso", ha detto Manian. "Ci sono account GitHub e altre cose con queste persone che, tipo, risalgono al 2016, 2017, 2018". (GitHub, di proprietà di Microsoft, è la piattaforma online che molte organizzazioni software usano per ospitare codice e consentire agli sviluppatori di collaborare.)

CoinDesk ha collegato i lavoratori IT della DPRK alle aziende utilizzando vari metodi, tra cui registri di pagamento blockchain, contributi di codice GitHub pubblici, e-mail di funzionari del governo degli Stati Uniti e interviste dirette con le aziende target. Una delle più grandi reti di pagamento nordcoreane esaminate da CoinDesk è stata scoperta da ZachXBT, un investigatore blockchain che ha pubblicato un elenco di presunti sviluppatori della DPRK ad agosto.

In precedenza, i datori di lavoro rimanevano in silenzio a causa di preoccupazioni circa pubblicità indesiderata o ripercussioni legali. Ora, confrontati con ampi registri di pagamento e altre prove scoperte da CoinDesk, molti di loro hanno deciso di farsi avanti e condividere le loro storie per la prima volta, esponendo l'enorme successo e la portata degli sforzi della Corea del Nord per penetrare nel settore delle criptovalute.

Documenti falsi

Dopo aver assunto Ryuhei, il dipendente apparentemente giapponese, la Truflation di Rust ha ricevuto una valanga di nuovi candidati. Nel giro di pochi mesi, Rust ha inconsapevolmente assunto altri quattro sviluppatori DPRK che hanno dichiarato di avere sede a Montreal, Vancouver, Houston e Singapore.

Il settore delle criptovalute è particolarmente pronto per il sabotaggio da parte dei lavoratori IT nordcoreani. La forza lavoro è particolarmente globale e le aziende di criptovalute tendono a sentirsi più a loro agio di altre nell'assumere sviluppatori completamente remoti, persino anonimi.

CoinDesk ha esaminato le domande di lavoro nella RPDC ricevute dalle aziende del settore delle criptovalute da diverse fonti, tra cui piattaforme di messaggistica come Telegram e Discord, bacheche di lavoro specifiche per il settore delle criptovalute come Crypto Jobs List e siti di assunzioni come Indeed.

"Il posto in cui hanno più fortuna a farsi assumere è in questi team nuovi e freschi che sono disposti ad assumere da un Discord", ha affermato Taylor Monahan, product manager presso l'app di criptovaluta MetaMask che pubblica spesso ricerche sulla sicurezza relative all'attività crypto nordcoreana. "Non hanno procedure in atto per assumere persone con controlli dei precedenti. Sono disposti a pagare in criptovaluta molte volte".

Rust ha detto di aver condotto i suoi controlli di background su tutti i nuovi assunti di Truflation. "Ci hanno inviato i loro passaporti e carte d'identità, ci hanno dato i repository GitHub, hanno fatto un test e poi, in pratica, li abbiamo assunti".

A un occhio inesperto, la maggior parte dei documenti falsificati sembrano indistinguibili dai passaporti e dai visti autentici, anche se gli esperti hanno dichiarato a CoinDesk che probabilmente sarebbero stati individuati dai servizi professionali di controllo dei precedenti penali.

Sebbene le startup siano meno propense a ricorrere a verificatori dei precedenti professionali, "vediamo lavoratori nordcoreani del settore IT anche in aziende più grandi, sia come veri e propri dipendenti, sia come appaltatori", ha affermato Monahan.

Nascosto in bella vista

In molti casi, CoinDesk ha scoperto che i dipendenti IT della RPDC presso le aziende utilizzavano dati blockchain disponibili al pubblico.

Nel 2021, Manian, lo sviluppatore blockchain, aveva bisogno di aiuto nella sua azienda, Iqlusion. Ha cercato programmatori freelance che potessero aiutarlo con un progetto per aggiornare la popolare blockchain Cosmos Hub. Ha trovato due reclute; hanno svolto il loro compito in modo competente.

Manian non ha mai incontrato di persona i freelance, "Jun Kai" e "Sarawut Sanit". In precedenza avevano lavorato insieme a un progetto software open source finanziato da THORChain, una rete blockchain strettamente affiliata, e avevano detto a Manian di avere sede a Singapore.

"Ho parlato con loro quasi ogni giorno per un anno", ha detto Manian. "Hanno fatto il lavoro. E, francamente, sono stato piuttosto soddisfatto".

Due anni dopo che i freelancer avevano completato il loro lavoro, Manian ha ricevuto un'e-mail da un agente dell'FBI che indagava sui trasferimenti di token che sembravano provenire da Iqlusion diretti a presunti indirizzi di wallet di criptovalute nordcoreani. I trasferimenti in questione si sono rivelati essere i pagamenti di Iqlusion a Kai e Sanit.

L'FBI non ha mai confermato a Manian che gli sviluppatori da lui ingaggiati fossero agenti della RPDC, ma l'analisi degli indirizzi blockchain di Kai e Sanit da parte di CoinDesk ha mostrato che nel corso del 2021 e del 2022 hanno convogliato i loro guadagni a due individui nell'elenco delle sanzioni dell'OFAC: Kim Sang Man e Sim Hyon Sop.

Secondo l'OFAC, Sim è un rappresentante della Kwangson Banking Corp, una banca nordcoreana che ricicla i fondi dei lavoratori IT per aiutare a "finanziare i programmi di armi di distruzione di massa e missili balistici della RPDC". Sembra che Sarawut abbia convogliato tutti i suoi guadagni su Sim e altri portafogli blockchain collegati a Sim.

Kai, nel frattempo, ha incanalato quasi 8 milioni di $ direttamente a Kim. Secondo un avviso OFAC del 2023, Kim è un rappresentante della Chinyong Information Technology Cooperation Company, gestita dalla DPRK, che, "attraverso le aziende sotto il suo controllo e i loro rappresentanti, impiega delegazioni di lavoratori IT della DPRK che operano in Russia e Laos".

Lo stipendio di Iqlusion a Kai ammontava a meno di 50.000 dollari dei quasi 8 milioni di dollari che aveva inviato a Kim, e parte dei fondi rimanenti provenivano da altre società di criptovalute.

Ad esempio, CoinDesk ha scoperto pagamenti effettuati dalla Fantom Foundation, che sviluppa la blockchain Fantom ampiamente utilizzata, a favore di "Jun Kai" e di un altro sviluppatore legato alla RPDC.

"Fantom ha identificato due membri del personale esterno coinvolti con la Corea del Nord nel 2021", ha detto un portavoce della Fantom Foundation a CoinDesk. "Tuttavia, gli sviluppatori in questione hanno lavorato a un progetto esterno che non è mai stato completato e mai distribuito".

Secondo la Fantom Foundation, "I due individui in questione sono stati licenziati, non hanno mai contribuito con alcun codice dannoso né hanno mai avuto accesso alla base di codice di Fantom e nessun utente di Fantom è stato colpito". Uno dei lavoratori della DPRK ha tentato di attaccare i server di Fantom ma non ci è riuscito perché non aveva l'accesso richiesto, secondo il portavoce.

Secondo il database OpenSanctions, gli indirizzi blockchain di Kim collegati alla RPDC non sono stati pubblicati da alcun governo fino a maggio 2023, ovvero più di due anni dopo che Iqlusion e Fantom avevano effettuato i loro pagamenti.

Margine di tolleranza concesso

Gli Stati Uniti e le Nazioni Unite hanno autorizzato l'assunzione di personale informatico proveniente dalla RPDC rispettivamente nel 2016 e nel 2017.

È illegale pagare i lavoratori nordcoreani negli Stati Uniti, indipendentemente dal fatto che lo si faccia consapevolmente o meno: si tratta di un concetto legale chiamato "responsabilità oggettiva".

Inoltre, non è necessariamente importante dove abbia sede un'azienda: assumere lavoratori dalla RPDC può comportare rischi legali per qualsiasi azienda che operi in paesi che impongono sanzioni alla Corea del Nord.

Tuttavia, gli Stati Uniti e altri stati membri delle Nazioni Unite non hanno ancora intentato causa contro un'azienda di criptovalute per aver assunto dipendenti IT nordcoreani.

Il Dipartimento del Tesoro degli Stati Uniti ha aperto un'indagine su Iqlusion, che ha sede negli Stati Uniti, ma Manian afferma che l'indagine si è conclusa senza alcuna sanzione.

Le autorità statunitensi sono state indulgenti nel muovere accuse contro le aziende, riconoscendo in un certo senso che erano state vittime, nella migliore delle ipotesi, di un tipo insolitamente elaborato e sofisticato di frode d'identità o, nella peggiore delle ipotesi, di una lunga truffa del tipo più umiliante.

A parte i rischi legali, pagare i dipendenti IT della RPDC è "sbagliato perché stai pagando persone che fondamentalmente vengono sfruttate dal regime", ha spiegato Monahan di MetaMask.

Secondo il rapporto di 615 pagine del Consiglio di sicurezza delle Nazioni Unite, i lavoratori IT della RPDC trattengono solo una piccola parte delle loro buste paga. "I redditi più bassi trattengono il 10 percento, mentre quelli più alti potrebbero trattenere il 30 percento", afferma il rapporto.

Sebbene questi stipendi possano essere ancora alti rispetto alla media in Corea del Nord, "non mi interessa dove vivono", ha detto Monahan. "Se pago qualcuno e lui è letteralmente costretto a inviare l'intero stipendio al suo capo, questo mi metterebbe molto a disagio. Mi metterebbe ancora più a disagio se il suo capo fosse, sai, il regime nordcoreano".

Nel corso della segnalazione, CoinDesk ha contattato diversi presunti dipendenti IT della RPDC, ma non ha ricevuto risposta.

Venendo avanti

CoinDesk ha identificato più di due dozzine di aziende che impiegavano possibili lavoratori IT della RPDC analizzando i registri dei pagamenti blockchain a entità sanzionate dall'OFAC. Dodici aziende a cui sono stati presentati i registri hanno confermato a CoinDesk di aver precedentemente scoperto sospetti lavoratori IT della RPDC nei loro libri paga.

Alcuni hanno rifiutato di rilasciare ulteriori dichiarazioni per timore di ripercussioni legali, ma altri hanno accettato di condividere le loro storie nella speranza che altri possano imparare dalle loro esperienze.

In molti casi, i dipendenti della RPDC si sono rivelati più facili da identificare dopo essere stati assunti.

Eric Chen, CEO di Injective, un progetto incentrato sulla finanza decentralizzata, ha affermato di aver assunto uno sviluppatore freelance nel 2020, ma di averlo subito licenziato per scarsi risultati.

"Non è durato a lungo", ha detto Chen. "Scriveva codice scadente che non funzionava bene". Solo l'anno scorso, quando un'"agenzia governativa" statunitense ha contattato Injective, Chen ha scoperto che il dipendente era legato alla Corea del Nord.

Diverse aziende hanno dichiarato a CoinDesk di aver licenziato un dipendente prima ancora di essere a conoscenza di eventuali legami con la RPDC, ad esempio a causa di un lavoro scadente.

'Pagamento del latte per qualche mese'

Tuttavia, i lavoratori IT della RPDC sono simili ai tipici sviluppatori in quanto le loro attitudini possono variare.

Da un lato, avrai dipendenti che "si presentano, superano un processo di colloquio e semplicemente sperperano la busta paga per qualche mese di stipendio", ha detto Manian. "C'è anche un altro aspetto, ovvero che incontri queste persone che, quando le intervisti, hanno delle capacità tecniche davvero forti".

Rust ha ricordato di aver avuto "uno sviluppatore davvero bravo" alla Truflation che sosteneva di essere di Vancouver ma in realtà era della Corea del Nord. "Era davvero un ragazzino", ha detto Rust. "Sembrava che fosse appena uscito dal college. Un po' inesperto, molto entusiasta, davvero eccitato di lavorare a un'opportunità".

In un altro caso, Cluster, una startup di finanza decentralizzata, ha licenziato due sviluppatori ad agosto dopo che ZachXBT li aveva contattati fornendo prove del loro legame con la RPDC.

"È davvero pazzesco quanto sapessero questi ragazzi", ha detto a CoinDesk il fondatore pseudonimo di Cluster, z3n. A posteriori, c'erano alcuni "chiari segnali d'allarme". Ad esempio, "ogni due settimane cambiavano il loro indirizzo di pagamento e ogni mese circa cambiavano il loro nome Discord o Telegram".

Webcam spenta

Nelle conversazioni con CoinDesk, molti datori di lavoro hanno affermato di aver notato anomalie che hanno avuto più senso quando hanno scoperto che i loro dipendenti erano probabilmente nordcoreani.

A volte gli indizi erano sottili, come orari di lavoro dei dipendenti che non coincidevano con il loro presunto luogo di lavoro.

Altri datori di lavoro, come Truflation, hanno notato indizi secondo cui un dipendente era in realtà composto da più persone che si spacciavano per un singolo individuo, cosa che il dipendente avrebbe cercato di nascondere tenendo spenta la webcam. (Si tratta quasi sempre di uomini).

Un'azienda ha assunto una dipendente che si presentava alle riunioni al mattino, ma sembrava dimenticare tutto ciò di cui si era parlato più tardi nel corso della giornata: una stranezza che ha avuto ancora più senso quando il datore di lavoro si è reso conto che aveva parlato con più persone.

Quando Rust espresse le sue preoccupazioni su Ryuhei, il suo dipendente "giapponese", a un investitore esperto nel monitoraggio delle reti di pagamento criminali, l'investitore identificò rapidamente gli altri quattro presunti dipendenti del settore IT della RPDC pagati da Truflation.

"Abbiamo immediatamente tagliato i ponti", ha detto Rust, aggiungendo che il suo team ha condotto un audit di sicurezza del suo codice, ha migliorato i suoi processi di controllo dei precedenti e ha cambiato alcune policy. Una nuova policy era quella di richiedere ai lavoratori da remoto di accendere le loro telecamere.

Un attacco hacker da 3 milioni di dollari

Molti dei datori di lavoro consultati da CoinDesk avevano l'errata impressione che i dipendenti IT della RPDC operassero indipendentemente dal ramo hacker della Corea del Nord, ma i dati blockchain e le conversazioni con gli esperti rivelano che le attività di hacking del regime e i dipendenti IT sono spesso collegati.

A settembre 2021, MISO, una piattaforma creata da Sushi per il lancio di token crittografici, ha perso 3 milioni di dollari in una rapina ampiamente segnalata. CoinDesk ha trovato prove che l'attacco era collegato all'assunzione da parte di Sushi di due sviluppatori con registri di pagamento blockchain collegati alla Corea del Nord.

Al momento dell'hacking, Sushi era una delle piattaforme più chiacchierate nel mondo emergente della finanza decentralizzata (DeFi). Più di 5 miliardi di $ erano stati depositati in SushiSwap, che funge principalmente da "scambio decentralizzato" per consentire alle persone di effettuare scambi tra criptovalute senza intermediari.

Joseph Delong, all'epoca direttore tecnico di Sushi, ha fatto risalire il furto di MISO a due sviluppatori freelance che hanno contribuito a realizzarlo: individui che usavano i nomi Anthony Keller e Sava Grujic. Delong ha affermato che gli sviluppatori, che ora sospetta fossero una singola persona o organizzazione, hanno iniettato codice dannoso nella piattaforma MISO, reindirizzando i fondi a un portafoglio da loro controllato.

Quando Keller e Grujic furono ingaggiati da Sushi DAO, l'organizzazione autonoma decentralizzata che governa il protocollo Sushi, fornirono credenziali che sembravano abbastanza tipiche, persino impressionanti, per gli sviluppatori entry-level.

Keller operava pubblicamente con lo pseudonimo "eratos1122", ma quando si candidò per lavorare su MISO usò quello che sembrava essere il suo vero nome, "Anthony Keller". In un curriculum che Delong ha condiviso con CoinDesk, Keller affermava di risiedere a Gainesville, Georgia, e di essersi laureato presso l'Università di Phoenix con una laurea triennale in ingegneria informatica. (L'università non ha risposto a una richiesta di conferma dell'esistenza di un laureato con quel nome.)

Il curriculum di Keller includeva riferimenti autentici a lavori precedenti. Tra i più impressionanti c'era Yearn Finance, un protocollo di investimento in criptovalute estremamente popolare che offre agli utenti un modo per guadagnare interessi su una gamma di strategie di investimento predefinite. Banteg, uno sviluppatore principale di Yearn, ha confermato che Keller ha lavorato su Coordinape, un'app creata da Yearn per aiutare i team a collaborare e facilitare i pagamenti. (Banteg afferma che il lavoro di Keller era limitato a Coordinape e che non aveva accesso alla base di codice principale di Yearn.)

Keller ha indirizzato Grujic a MISO e i due si sono presentati come "amici", secondo Delong. Come Keller, Grujic ha fornito un curriculum con il suo presunto vero nome anziché il suo pseudonimo online, "AristoK3". Ha affermato di essere serbo e di essersi laureato all'Università di Belgrado con una laurea triennale in informatica. Il suo account GitHub era attivo e il suo curriculum elencava l'esperienza con diversi progetti di criptovaluta più piccoli e startup di gioco.

Rachel Chu, ex sviluppatrice principale di Sushi che ha lavorato a stretto contatto con Keller e Grujic prima della rapina, ha affermato di essere stata "sospettosa" nei confronti della coppia già prima che si verificasse qualsiasi attacco informatico.

Nonostante sostenessero di essere dislocati dall'altra parte del mondo, Grujic e Keller "avevano lo stesso accento" e "lo stesso modo di mandare messaggi", ha detto Chu. "Ogni volta che parlavamo, c'era un po' di rumore di sottofondo, come se fossero in una fabbrica", ha aggiunto. Chu ha ricordato di aver visto il volto di Keller ma mai quello di Grujic. Secondo Chu, la telecamera di Keller era "ingrandita" in modo che non riuscisse mai a distinguere cosa ci fosse dietro di lui.

Keller e Grujic alla fine hanno smesso di contribuire a MISO più o meno nello stesso periodo. "Pensiamo che Anthony e Sava siano la stessa persona", ha detto Delong, "quindi abbiamo smesso di pagarli". Questo era il culmine della pandemia di COVID-19 e non era inaudito che sviluppatori di criptovalute remoti si spacciassero per più persone per estorcere denaro extra dal libro paga.

Dopo che Keller e Grujic furono licenziati nell'estate del 2021, il team di Sushi si dimenticò di revocare loro l'accesso alla base di codice MISO.

Il 2 settembre, Grujic ha inserito un codice dannoso sulla piattaforma MISO con il suo nickname "Aristok3", reindirizzando 3 milioni di dollari a un nuovo portafoglio di criptovalute, sulla base di uno screenshot fornito a CoinDesk.

L'analisi di CoinDesk dei registri dei pagamenti blockchain suggerisce un potenziale collegamento tra Keller, Grujic e la Corea del Nord. A marzo 2021, Keller ha pubblicato un indirizzo blockchain in un tweet ora cancellato. CoinDesk ha scoperto più pagamenti tra questo indirizzo, l'indirizzo hacker di Grujic e gli indirizzi che Sushi aveva in archivio per Keller. L'indagine interna di Sushi ha infine concluso che l'indirizzo apparteneva a Keller, secondo Delong.

CoinDesk ha scoperto che l'indirizzo in questione ha inviato la maggior parte dei suoi fondi a "Jun Kai" (lo sviluppatore di Iqlusion che ha inviato denaro a Kim Sang Man, sanzionato dall'OFAC) e a un altro portafoglio che sembra fungere da proxy della RPDC (perché anch'esso ha pagato Kim).

A ulteriore conferma della teoria secondo cui Keller e Grujic erano nordcoreani, l'indagine interna di Sushi ha scoperto che la coppia operava spesso utilizzando indirizzi IP in Russia, che è dove l'OFAC afferma che a volte hanno sede i dipendenti IT della RPDC della Corea del Nord. (Il numero di telefono statunitense sul curriculum di Keller è fuori servizio e i suoi account Github e Twitter "eratos1122" sono stati eliminati.)

Inoltre, CoinDesk ha scoperto prove che Sushi ha impiegato un altro presunto appaltatore IT della DPRK nello stesso periodo di Keller e Grujic. Lo sviluppatore, identificato da ZachXBT come "Gary Lee", ha codificato sotto lo pseudonimo LightFury e ha incanalato i suoi guadagni verso "Jun Kai" e un altro indirizzo proxy collegato a Kim.

Dopo che Sushi ha pubblicamente attribuito l'attacco allo pseudonimo di Keller, "eratos1122", e ha minacciato di coinvolgere l'FBI, Grujic ha restituito i fondi rubati. Sebbene possa sembrare controintuitivo che un dipendente IT della RPDC si preoccupi di proteggere un'identità falsa, i dipendenti IT della RPDC sembrano riutilizzare determinati nomi e costruirsi una reputazione nel tempo contribuendo a molti progetti, forse come un modo per guadagnare credibilità con i futuri datori di lavoro.

Qualcuno potrebbe aver deciso che proteggere lo pseudonimo di Anthony Keller sarebbe stato più redditizio a lungo termine: nel 2023, due anni dopo l'incidente di Sushi, qualcuno di nome "Anthony Keller" presentò domanda a Truflation, l'azienda di Stefan Rust.

I tentativi di contattare "Anthony Keller" e "Sava Grujic" per un commento non hanno avuto successo.

Rapine in stile RPDC

Secondo l'ONU, la Corea del Nord ha rubato più di 3 miliardi di dollari in criptovaluta tramite hack negli ultimi sette anni. Degli hack che la società di analisi blockchain Chainalysis ha monitorato nella prima metà del 2023 e che ritiene siano collegati alla RPDC, "circa la metà di essi ha coinvolto furti correlati ai dipendenti IT", ha affermato Madeleine Kennedy, portavoce della società.

Gli attacchi informatici nordcoreani non assomigliano in genere alla versione hollywoodiana dell'hacking, in cui programmatori incappucciati si introducono nei mainframe utilizzando un sofisticato codice informatico e terminali informatici neri e verdi.

Gli attacchi in stile DPRK sono decisamente low-tech. Di solito implicano una qualche versione di ingegneria sociale, in cui l'attaccante si guadagna la fiducia di una vittima che detiene le chiavi di un sistema e poi estrae quelle chiavi direttamente tramite qualcosa di semplice come un collegamento e-mail dannoso.

"Finora non abbiamo mai visto DPRK fare, tipo, un vero exploit", ha detto Monahan. "È sempre: ingegneria sociale, poi compromissione del dispositivo, e poi compromissione delle chiavi private".

Gli addetti ai sistemi informatici sono nella posizione ideale per contribuire alle rapine della RPDC, sia estraendo informazioni personali che potrebbero essere utilizzate per sabotare un potenziale bersaglio, sia ottenendo l'accesso diretto ai sistemi software pieni di denaro digitale.

Una serie di coincidenze

Il 25 settembre, mentre questo articolo si avvicinava alla pubblicazione, CoinDesk aveva programmato una videochiamata con Rust di Truflation. Il piano era di verificare alcuni dettagli che aveva condiviso in precedenza.

Rust, agitato, si è unito alla chiamata con 15 minuti di ritardo. Era appena stato hackerato.

CoinDesk ha contattato più di due dozzine di progetti che sembravano essere stati ingannati nell'assumere lavoratori IT della RPDC. Solo nelle ultime due settimane di reporting, due di quei progetti sono stati hackerati: Truflation e un'app di prestito di criptovalute chiamata Delta Prime.

È troppo presto per stabilire se uno dei due attacchi sia direttamente collegato all'assunzione involontaria di personale IT della RPDC.

Delta Prime è stato violato per primo, il 16 settembre. CoinDesk aveva precedentemente scoperto pagamenti e contributi di codice che collegavano Delta Prime a Naoki Murano, uno degli sviluppatori collegati alla RPDC pubblicizzati da ZachXBT, l'investigatore di blockchain pseudonimo.

Il progetto ha perso più di 7 milioni di dollari, ufficialmente a causa di "una chiave privata compromessa". Delta Prime non ha risposto alle numerose richieste di commento.

L'hack di Truflation è avvenuto meno di due settimane dopo. Rust ha notato che i fondi uscivano dal suo portafoglio di criptovalute circa due ore prima della chiamata con CoinDesk. Era appena tornato a casa da un viaggio a Singapore e si stava affannando per dare un senso a ciò che aveva fatto di sbagliato. "Non ho proprio idea di come sia successo", ha detto. "Avevo tutti i miei quaderni chiusi a chiave nella cassaforte nel muro del mio hotel. Avevo il mio cellulare con me per tutto il tempo".

Milioni di dollari uscivano dai portafogli personali blockchain di Rust mentre parlava. "Voglio dire, fa davvero schifo. È la scuola dei miei figli; le tasse sulla pensione."

Truflation e Rust alla fine hanno perso circa 5 milioni di $. La causa ufficiale è stata una chiave privata rubata.