C’è un momento preciso in cui la narrativa sui “hacker nordcoreani” smette di essere una storia di APT, zero‑day e supply chain e diventa qualcosa di molto più scomodo: scopri che quella persona nel tuo Slack, con badge GitHub aziendale e ticket Jira assegnati, potrebbe essere un dipendente della Repubblica Popolare Democratica di Corea che lavora sotto falso nome da un appartamento a Shenyang, usando il portatile spedito a casa di un collaboratore americano.
Il quadro che emerge dall’analisi congiunta di Flare e IBM X‑Force è quello di un’industria strutturata di IT worker nordcoreani (NKITW), non un singolo cluster o campagna, ma una filiera permanente di developer, facilitator, recruiter e collaboratori occidentali che trasformano identità e account in valuta sonante per il regime. È lo stesso ecosistema che negli ultimi mesi è finito al centro di indagini del Dipartimento di Giustizia USA, di nuove sanzioni OFAC e di report di piattaforme come GitHub, che descrivono pipeline industriali per generare identità sintetiche, costruire reputazione tecnica e infiltrarsi in team di sviluppo e infrastrutture critiche.
Dall’operaio al developer: l’evoluzione del lavoratore all’estero
Storicamente Pyongyang ha monetizzato la forza lavoro esportando camerieri, muratori e operai in Cina e Russia, costretti a rimandare la quasi totalità del salario al partito‑stato. L’IT worker è l’evoluzione “white collar” di questo modello: stesso schema di estrazione di valore, margini molto più elevati. Le stime ONU e di altri osservatori indicano migliaia di lavoratori IT dispiegati all’estero o operativi da remoto, con un volume annuo di centinaia di milioni di dollari tra salari, attività illecite e sfruttamento di criptoasset.
Questi lavoratori non sono improvvisati. Vengono selezionati da giovanissimi per le abilità matematiche, instradati attraverso un percorso di scuole d’élite che include università come Kim Il Sung, Kim Chaek e l’University of Sciences di Pyongyang, gestita dall’Accademia di Scienze e percepita come corsia preferenziale per ottenere residenza nella capitale e status privilegiato. L’IT worker è, di fatto, un insider di élite del sistema nordcoreano: istruito, con accesso alla tecnologia, politicamente affidabile, e con un obiettivo semplice ma non negoziabile, generare valuta pregiata e, quando possibile, intelligence e know‑how tecnici.
La macchina organizzativa: recruiter, facilitator, worker, collaboratori
L’ecosistema NKITW è strutturato in ruoli ben distinti, che ricordano più una scale‑up distribuita che un’unità di intelligence tradizionale. In alto troviamo i recruiter, spesso attivi su piattaforme mainstream come LinkedIn, che si presentano come HR per “stealth startup” con nomi innocui, come “C Digital LLC”. Il loro pitch è studiato: promettono mentorship sulle “migliori strategie di job hunting”, identità USA preconfezionate, possibilità (alluse, mai garantite) di migrare, e un modello retributivo basato su contratti ottenuti presso terzi.
Il passaggio successivo è nelle mani dei facilitator, che sono il motore operativo della frode. Queste figure orchestrano la creazione delle identità, gestiscono i profili su LinkedIn, GitHub e piattaforme freelance, coordinano gli assistenti che spammando candidature arrivano tranquillamente a centinaia di job application al giorno, curano il rapporto con i collaboratori occidentali, si fanno carico dell’onboarding e della “manutenzione” del profilo fintanto che il lavoratore resta in azienda.
Gli IT worker, il gradino apparentemente più “basso”, sono in realtà gli esecutori sulla tastiera. Lavorano su stack che vanno da .NET allo sviluppo blockchain, da WordPress al full‑stack JavaScript, con competenze che oscillano dal solido alla facciata, spesso compensate da un uso massiccio di Google, ChatGPT e altra AI generativa per colmare gap tecnici e linguistici in tempo reale. Infine ci sono i collaboratori/broker occidentali, il layer più delicato dal punto di vista legale: proprietari di identità, laptop e conti bancari che consapevolmente o meno prestano la propria “fisicità” per superare KYC, background check, drug test e burocrazia fiscale.
Le ultime inchieste del Dipartimento di Giustizia USA hanno mostrato esattamente questo pattern, con facilitatori e cittadini americani incriminati per aver fornito laptop, conti e società di comodo a decine di worker nordcoreani, che hanno guadagnato milioni di dollari e ottenuto accesso a più di cento aziende, incluse realtà Fortune 500 e contractor della difesa.
RB Site, NetKeyRegister e la “intranet” del lavoro IT nordcoreano
Un elemento distintivo del report Flare/X‑Force è l’accesso raro a quello che succede “dietro il firewall” nordcoreano: non solo opsec degli operatori, ma veri e propri sistemi di gestione interna del lavoro. Il primo tassello è l’infrastruttura VPN domestica, centrata su NetKey e sul suo rebrand OConnect, client proprietari usati per autenticarsi a reti interne DPRK. Su endpoint riconducibili a worker sono state osservate più versioni di NetKey (4.1, 5.0, 5.1) e OConnect (dalla 5.3 alla 6.0.0), con percorsi che includono directory come “C:\Program Files (x86)\rb corp\oconnect 5\NetKey.exe” e “C:\Program Files (x86)\STN Corp\OConnect 6.0.0\OConnect.exe”, indizi di enti o front company come “RB Corp” e “STN Corp”.
È proprio “RB” a condurre a RB Site, una piattaforma web accessibile su IP interni (per esempio 192.168.109.2) che fornisce interfacce come “Add Machine Info”, “Network Report”, “Payment Address” e viste su “blocked URLs”. In pratica un back‑office centralizzato dove registrare i dispositivi in uso, associare macchine a singoli worker, distribuire aggiornamenti dei client NetKey/OConnect e tracciare flussi di pagamento. In parallelo emerge NetKeyRegister, un’altra applicazione web su IP privato (172.20.100.7:8000) con pagine di login, upload e form parametrici basati su “netkey_id”, verosimilmente un registry interno di identità e servizi associati ai tunnel VPN.
Questo ecosistema suggerisce che il lavoro remoto per Pyongyang è gestito con la stessa ossessione per la rendicontazione che si ritrova nel resto dell’economia di comando: time sheet che registrano le attività “per il secondo”, classifiche interne basate sulle ore trascorse a fare bidding su Upwork e a inviare messaggi LinkedIn, nickname di gruppo mutuati da videogiochi e cultura pop. Dalla stessa telemetria si capisce che ogni giorno centinaia di bid vengono lanciati su piattaforme freelance, con tassi di conversione bassi ma sufficienti, dato il costo del lavoro interno, a generare margini significativi anche con progetti da qualche centinaio di dollari l’uno.
Synthetic workforce: persona engineering tra GitHub, AI e FaceSwap
Se c’è un’area in cui la componente “nerd” del fenomeno emerge con forza è la costruzione delle identità. L’identità digitale del worker è un prodotto, e viene trattata come tale: progettazione, prototipazione, validazione, cicli di iterazione basati su feedback del mercato (recruiter, hiring manager, piattaforme). Tutto parte da generatori di nomi e profili, in grado di produrre identità coerenti con l’area geografica target, collegati a università e aziende credibili nel contesto locale. Per la parte visiva vengono scaricate foto stock e poi modificate con editor AI per evitare reverse image search, oppure si parte da scatti reali e si manipola lo sfondo o i tratti fino a renderli irriconoscibili.
Negli ultimi mesi, secondo OFAC e analisi indipendenti, questo arsenale si è arricchito di strumenti più aggressivi: applicazioni di face‑swapping usate per inserire volti di worker in passaporti rubati o documenti d’identità sintetici, e tool generativi per produrre headshot “LinkedIn‑ready” e persino interi siti aziendali fittizi che fungono da base per referenze e shell company. Una delle indagini raccontate da GitHub parla di un singolo team nordcoreano che ha creato almeno 135 identità sintetiche, automatizzando la creazione di email, account professionali e portfolio tecnici e riuscendo a ottenere accesso a decine di codebase private.
GitHub, in questo ecosistema, è una vetrina ma anche un tool operativo. I profili “di facciata” sono pieni di repository boilerplate, fork, badge e grafica, spesso con commit history artificiale, costruita seguendo guide trovate via Google tipo “how to create fake commit activity on GitHub”. La qualità del codice nei repo pubblici conta relativamente: l’obiettivo è tecnicamente convincere un recruiter umano o automatizzato che la persona dietro l’account sia “uno dei tanti” developer mid‑senior in un mercato saturo.
Molto più interessanti, dal punto di vista della sicurezza, sono i profili “operativi”, quelli usati per lavorare sui repository privati delle aziende target. In questi casi il profilo GitHub è minimalista, spesso quasi vuoto, perché la sua unica funzione è ospitare branch e pull request su codebase proprietarie. È qui che l’identità fittizia smette di essere un problema HR e diventa un rischio di sicurezza: accesso a codice, pipeline CI/CD, segreti, infrastrutture cloud, dataset di clienti.
Vita (molto) quotidiana di un IT worker nordcoreano
La vita lavorativa dell’IT worker medio, per come emerge dai log di Google Translate, dalle cronologie browser e dai documenti interni analizzati, è quasi banale proprio perché profondamente simile a quella di un developer qualsiasi, solo con più stratagemmi intorno. Il worker inizia la giornata collegandosi via VPN commerciale, spesso Astrill, per ottenere un IP coerente con la sua presunta residenza (Stati Uniti, Europa, Asia‑Pacific), oltre al tunnel verso la rete DPRK tramite NetKey/OConnect.
Le task arrivano via Jira, Slack, Teams o sistemi analoghi; ogni descrizione di ticket viene incollata in Google Translate, tradotta e spezzata in query per Google e ChatGPT. ChatGPT viene usato come copilota per generare snippet, debug, spiegazioni di stack non pienamente padroneggiati; le risposte vengono ricontrollate traducendo dall’inglese al coreano per essere sicuri di aver compreso senso e sfumature prima di inviare qualcosa al team. Interessante è il pattern di utilizzo di Google Translate: quando il worker scrive in inglese, l’URL della pagina di traduzione viene aggiornato a ogni lettera, producendo lunghi “trail” nella cronologia, un marcatore comportamentale che tradisce la scrittura lenta e controllata del messaggio.
In parallelo mantiene la copertura: aggiornamenti di stand‑up giornalieri, battute “da open space”, richieste di chiarimenti tecnici costruite in maniera credibile rispetto al ruolo. Tutto questo sotto la minaccia costante della performance: i log contengono messaggi di manager frustrati da problemi banali con i branch Git, dal calo di qualità delle consegne rispetto alle aspettative del CV, fino a piani di miglioramento e, in molti casi, lettere di licenziamento. Quando l’epilogo arriva, scatta il protocollo di dismissione: coordinarsi con il collaboratore occidentale per spedire il laptop, chiudere l’account, incassare l’ultima busta paga e passare alla prossima identità.
La comunicazione interna tra worker e tra team avviene spesso tramite IP Messenger (IPMsg), un’app di messaging serverless che vive su LAN, con gruppi identificati da nickname come “Jockey”, “Viper”, “KasperSky”, “Superman” e così via. Qui circolano slide con statistiche su CV che performano meglio, consigli di dorking per cercare offerte di lavoro per paese, link a versioni “pulite” di OConnect e IPMsg da RB Site quando compaiono campagne malware che ne sfruttano i binari. Questo layer “peer‑to‑peer” dipinge l’immagine di un ambiente ibrido tra una software house e un collegio, con competizione interna, ranking e pressione sociale per chi è in fondo alla classifica di ore lavorate.
Dal falso dipendente all’insider: cosa stanno facendo davvero
La narrativa ufficiale spiega l’IT worker principalmente come strumento di generazione di revenue, e le cifre supportano questa lettura: singoli worker possono guadagnare fino a 300.000 dollari l’anno, fondi che in gran parte vengono incanalati verso i programmi di armamento e missilistici del regime. Ma ridurre il fenomeno a “developer che lavorano in nero per finanziare Pyongyang” è fuorviante. Alcune delle indagini più recenti mostrano come questi ruoli si sovrappongano sempre più con attività classiche di cybercrime e spionaggio.
Nelle accuse rese pubbliche nel 2025, il Dipartimento di Giustizia ha descritto casi in cui team di IT worker, una volta ottenuto un posto come developer remoto presso aziende americane, hanno sottratto criptovalute per quasi un milione di dollari, violato policy ITAR accedendo a codice sensibile di un contractor della difesa e scaricato dati proprietari da più organizzazioni. In parallelo OFAC e Treasury hanno sanzionato entità come Amnokgang Technology Department Company e altre strutture che gestiscono squadre di worker, accusandole non solo di frode identitaria, ma anche di aver introdotto malware su reti aziendali per esfiltrare informazioni.
Sul fronte cripto, provider come Chainalysis tracciano un uso sistematico di exchange, swap, mixer e bridge multi‑chain per ripulire salari e proventi illeciti, collegando indirizzi collegati all’IT worker scheme a milioni di dollari in asset digitali riciclati. In questo senso il “developer remoto” è un punto di ingresso ideale per l’abuso di segreti, wallet interni, infrastrutture DevOps poco presidiate e chiavi API, soprattutto in organizzazioni che non hanno una chiara segregazione tra ambienti di sviluppo, test e produzione.
E’ la componente umana, la più difficile da automatizzare ma probabilmente la più efficace. Il report Flare sottolinea come i worker tendano a evitare ambienti dove è richiesta alta interazione faccia a faccia, videochiamate frequenti, incontri in presenza per il ritiro dei laptop o per l’onboarding. Un’organizzazione che investe in rapporti stretti tra manager e dipendenti, che insiste su colloqui video approfonditi, che verifica indirizzi e disponibilità fisica quando il ruolo lo consente, rende la vita molto più difficile a chi cerca di gestire un’identità da migliaia di chilometri di distanza attraverso un collaboratore.