Migliaia di sviluppatori nordcoreani si sono infiltrati nelle aziende occidentali fingendosi professionisti IT. L’intelligenza artificiale ha reso questa frode industriale, scalabile e quasi invisibile. Il rapporto Microsoft cambia la natura del problema: non è più una questione di cybersecurity. È un problema di governance del lavoro.
Esiste un tipo di attacco informatico che non sfrutta alcuna vulnerabilità tecnica. Non installa malware, non viola firewall, non intercetta comunicazioni. Si limita a rispondere a un annuncio di lavoro.
Il 6 marzo 2026, Microsoft Threat Intelligence ha pubblicato un rapporto che sistematizza ciò che la comunità della sicurezza sospettava da tempo: operatori nordcoreani legati alla Repubblica Democratica Popolare di Corea (DPRK) utilizzano strumenti di intelligenza artificiale generativa per infiltrarsi come dipendenti regolari in aziende occidentali, in particolare nel settore tecnologico. Non come hacker. Come colleghi.
Il report identifica due gruppi principali — denominati Jasper Sleet e Coral Sleet — e documenta una catena operativa che va dalla costruzione dell’identità falsa alla gestione dell’impiego a lungo termine, interamente potenziata dall’AI.
La catena operativa: dall’identità al paycheck
Il meccanismo è più sofisticato di quanto la denominazione “truffa dell’assunzione” suggerisca. Si articola in fasi distinte, ciascuna con strumenti dedicati.
Fase 1 — Fabbricazione dell’identità. Jasper Sleet è stato osservato usare l’applicazione AI Faceswap per inserire i volti di lavoratori nordcoreani in documenti d’identità rubati e generare foto professionali per i curriculum. In alcuni casi, la stessa foto generata dall’AI è stata riutilizzata su più identità con variazioni minime. Microsoft
Fase 2 — Candidatura automatizzata. Servizi specializzati usano agenti GenAI per testare i CV caricati contro software di tracciamento delle candidature (ATS), iterando fino a ottenere risultati migliori e imparando quali identità avranno più successo per un determinato ruolo. Okta Security In pratica: ottimizzazione automatica del profilo falso per ogni posizione aperta.
Fase 3 — Superamento del colloquio. Jasper Sleet utilizza software di modifica vocale durante i colloqui per mascherare l’accento, consentendo agli operatori di passare come candidati occidentali in processi di selezione remoti. Microsoft Okta ha documentato anche l’uso di deepfake video in tempo reale durante le video-interviste.
Fase 4 — Mantenimento dell’impiego. Una volta assunti, gli operatori devono sostenere la performance lavorativa. Microsoft ha osservato lavoratori IT nordcoreani che utilizzano strumenti AI per elaborare risposte professionali, rispondere a domande tecniche o generare snippet di codice per soddisfare le aspettative in ambienti lavorativi non familiari. CyberScoop
Fase 5 — Gestione multipla dei ruoli. Il sistema è progettato per la scala: gli strumenti GenAI sembrano strumentali nell’aiutare un numero relativamente ristretto di facilitatori a pianificare colloqui con molteplici identità-persona DPRK The Record, consentendo a pochi operatori di gestire decine di posizioni lavorative simultanee.
| Fase | Operazione | Strumento AI |
|---|---|---|
| 01 | Fabbricazione dell’identità | Faceswap, generatori di foto AI |
| 02 | Candidatura automatizzata | Agenti GenAI su ATS, ChatGPT |
| 03 | Superamento del colloquio | Voice changer, deepfake video real-time |
| 04 | Mantenimento dell’impiego | LLM per risposte tecniche e codice |
| 05 | Gestione multipla dei ruoli | Automazione GenAI multi-persona |
La dimensione economica: non è spionaggio, è finanza pubblica
Inquadrare questo fenomeno come “minaccia cybersecurity” è riduttivo e fuorviante. La struttura incentivante è quella di uno schema di revenue generation statale.
Il numero di aziende che hanno assunto sviluppatori software nordcoreani è cresciuto del 220% negli ultimi dodici mesi. Fortune I lavoratori IT hanno infiltrato più di 320 aziende nello stesso periodo. Fortune
L’obiettivo primario non è lo spionaggio — quello è un’opportunità accessoria. Migliaia di lavoratori IT nordcoreani hanno usato identità rubate o inventate per posarsi come sviluppatori, ingegneri e consulenti tech occidentali, convogliando centinaia di milioni di dollari l’anno verso i programmi militari di Pyongyang. CNN
La logica è quella della sanction evasion industrializzata: la Corea del Nord forma giovani uomini nelle discipline STEM, li invia in team di quattro o cinque persone in paesi terzi (Cina, Russia, Nigeria, Cambogia, Emirati Arabi), e da lì gestiscono impieghi remoti in aziende occidentali. I laptop aziendali vengono spediti a “laptop farm” gestite da facilitatori locali — negli Stati Uniti, ma anche in Polonia e Romania, dove il fenomeno si sta espandendo.
Sebbene la generazione di entrate per il regime di Kim Jong-un sia il primo obiettivo, lo sfruttamento dell’accesso privilegiato alle organizzazioni occidentali è sempre un vantaggio aggiuntivo. Dark Reading
| Indicatore | Dato | Fonte |
|---|---|---|
| Crescita infiltrazioni (12 mesi) | +220% | CrowdStrike, 2025 |
| Aziende infiltrate (12 mesi) | 320+ | CrowdStrike, 2025 |
| Entrate annue stimate per Pyongyang | centinaia di M$ | US DOJ / CNN |
| Laptop farm censite (raid FBI) | 29 / 16 stati | US DOJ, giugno 2025 |
| Paesi europei con nuove farm attive | Polonia, Romania | CrowdStrike, 2025 |
L’AI come moltiplicatore di forza: il cambio qualitativo
Il rapporto Microsoft introduce un concetto operativo preciso: l’AI come “force multiplier”. Non uno strumento nuovo, ma una tecnologia che trasforma la scala e la sostenibilità delle operazioni esistenti.
L’AI potenzia gli operatori nordcoreani lungo l’intero ciclo operativo: ricerca sui target, sviluppo di risorse fraudolente, acquisizione e mantenimento dell’accesso, elusione dei controlli, e uso di strumenti per attività post-compromissione. CyberScoop
Il salto qualitativo rispetto alle osservazioni precedenti riguarda l’automazione: Coral Sleet usa l’AI — e a volte la jailbreaka — per sviluppare rapidamente infrastrutture web, generare e raffinare malware, e naturalmente per il social engineering. Coral Sleet usa anche AI agentiva per costruire workflow di attacco completamente automatizzati: creare siti web aziendali falsi, provisioning remoto di infrastrutture, test e deployment di payload malevoli. Dark Reading
L’aspetto più preoccupante per Microsoft è l’emergere dell’AI agentiva: sistemi in grado di prendere decisioni iterative e completare task complessi con supervisione minima. Sebbene non ancora osservata su larga scala e limitata da problemi di affidabilità e rischio operativo, questa evoluzione indica un potenziale shift verso un tradecraft più adattivo che potrebbe complicare significativamente il rilevamento e la risposta. Microsoft
Domande frequenti
Chi sono i lavoratori IT nordcoreani e cosa fanno nelle aziende occidentali?
Sono operatori addestrati e finanziati dallo Stato nordcoreano che si fingono sviluppatori software o ingegneri IT occidentali per ottenere impieghi remoti in aziende europee e americane. L’obiettivo primario è generare valuta estera per finanziare il programma nucleare di Pyongyang, aggirando le sanzioni internazionali. In alcuni casi sfruttano anche l’accesso privilegiato ai sistemi aziendali per attività di spionaggio o estorsione.
Come usano l’intelligenza artificiale i lavoratori IT nordcoreani per infiltrarsi nelle aziende?
Utilizzano l’AI generativa in ogni fase del processo: software come Faceswap per creare identità false con foto e documenti manipolati, agenti AI per ottimizzare i curriculum sui sistemi ATS, voice changer e deepfake video in tempo reale per superare i colloqui, e modelli linguistici per generare codice e risposte tecniche una volta assunti. Microsoft definisce l’AI un «force multiplier» che rende lo schema scalabile e sostenibile.
Le aziende italiane ed europee sono a rischio?
Sì. CrowdStrike ha documentato nuove laptop farm in Polonia e Romania. Le aziende con posizioni IT completamente remote sono le più esposte. Per il settore finanziario regolamentato soggetto a DORA, il rischio include anche implicazioni AML/CFT, poiché i pagamenti verso operatori di uno Stato sanzionato possono configurare violazioni normative.
Come può un’azienda proteggersi?
Microsoft e Okta raccomandano verifica biometrica o in presenza in fase di onboarding, monitoraggio degli accessi anomali da credenziali legittime, controllo degli indirizzi di spedizione dei dispositivi aziendali e formazione dei team HR. La difesa efficace richiede un approccio stratificato: non esiste una contromisura unica.
Quanto denaro guadagna la Corea del Nord attraverso questo schema?
Secondo il Dipartimento di Giustizia americano, lo schema genera centinaia di milioni di dollari l’anno per il regime di Kim Jong-un. Negli ultimi dodici mesi il numero di aziende infiltrate è cresciuto del 220%, con oltre 320 organizzazioni colpite (dati CrowdStrike 2025).
