Hacker sostenuti dalla Corea del Nord lanciano un nuovo vettore di attacco mirato a dirigenti e aziende crypto

Secondo stime, il collettivo ha sottratto complessivamente circa 6,7 miliardi di dollari dal 2017. Negli ultimi quindici giorni, solo gli sfruttamenti ai danni di Drift e KelpDAO hanno consentito prelievi superiori a 500 milioni di dollari, segno di una campagna sostenuta e mirata verso settori ad alto valore come la fintech e le criptovalute.

La nuova minaccia: Mach-O Man

Mach-O Man è un kit modulare di malware pensato per ambienti macOS, sviluppato dalla divisione nota come Chollima del Lazarus Group. Include binari nativi in formato Mach-O progettati per colpire contesti dove operano servizi finanziari digitali e piattaforme crittografiche.

Natalie Newson ha detto:

“Ciò che rende Lazarus particolarmente pericoloso in questo momento è il livello di attività: attacchi a KelpDAO, Drift e ora un nuovo kit per macOS, tutto nello stesso mese. Non è hacking casuale, ma un’operazione finanziaria diretta su scala istituzionale.”

Modalità d’attacco e tecnica ClickFix

Il vettore principale sfruttato dalla campagna è una tecnica di social engineering denominata ClickFix. Con questa modalità, le vittime vengono indotte a incollare un comando nel terminale del proprio Mac per “risolvere” un presunto problema di connessione, con l’effetto immediato di consegnare l’accesso a sistemi aziendali e risorse finanziarie.

Mauro Eldritch ha spiegato che gli attaccanti inviano inviti a riunioni urgenti via Telegram per call fingendo piattaforme legittime come Zoom, Microsoft Teams o Google Meet. Il link rimanda a un sito falso ma credibile che istruisce gli utenti a eseguire un comando nel terminale per risolvere la connessione.

In alcune varianti, gli aggressori hanno persino sostituito i domini di progetti DeFi per presentare pagine con finti messaggi di verifica — in alcuni casi con riferimenti a servizi di protezione dei domini — e guidare le vittime passo dopo passo nell’esecuzione di comandi dannosi.

Natalie Newson ha detto:

“Queste finte ‘verifiche’ istruiscono le vittime a usare scorciatoie da tastiera che attivano comandi nocivi. La pagina appare autentica, le istruzioni sembrano normali e l’utente avvia l’azione da sé — per questo i controlli di sicurezza tradizionali spesso non la rilevano.”

Conseguenze operative e difficoltà di individuazione

Una volta eseguito il comando, gli aggressori ottengono accesso immediato a piattaforme SaaS, sistemi aziendali e portafogli finanziari. Spesso le vittime non si accorgono dell’intrusione fino a quando il danno è già stato compiuto: il malware, infatti, è progettato per eliminare tracce di sé dopo l’esfiltrazione.

Gli analisti osservano che il livello di modularità del kit e la rapidità delle operazioni indicano una strategia organizzata e finanziata centralmente, tipica di attori sostenuti da uno stato che ha fatto del furto di asset digitali una fonte permanente di risorse.

Raccomandazioni per aziende e operatori del settore

Per mitigare il rischio, è necessario combinare misure tecniche e formazione mirata. Tra le azioni prioritarie: limitare l’esecuzione di comandi dal terminale a utenti amministrativi, implementare controlli di integrità sulle pagine di login e sui domini, monitorare attività anomale dei privilegi e adottare soluzioni di threat detection in tempo reale.

Inoltre le imprese fintech e i progetti DeFi dovrebbero rafforzare la protezione dei domini e delle procedure di aggiornamento dei siti, introdurre processi di verifica out-of-band per richieste urgenti e potenziare la consapevolezza degli executive rispetto ai rischi di social engineering avanzato.

Natalie Newson ha detto:

“La comunità crypto deve cominciare a trattare attori come Lazarus Group allo stesso modo in cui le banche considerano i cyber-attori statali: come una minaccia costante e ben finanziata, non come un semplice titolo di cronaca.”

Implicazioni più ampie

La persistenza e la sofisticazione della campagna sottolineano come il crimine informatico di natura statale si stia integrando con il mercato dei capitali digitali. Questo accentua la necessità di standard di sicurezza più elevati, non solo per piattaforme tecniche ma anche per la governance e la supervisione regolamentare dei servizi finanziari digitali.

L’evoluzione delle tattiche — dall’uso di inviti a meeting fasulli alla sostituzione di contenuti web legittimi — mostra che la superficie di attacco include non solo tecnologie ma anche processi umani e relazioni digitali di fiducia. Per gli operatori italiani, la lezione è rafforzare non soltanto i sistemi ma anche le pratiche operative e contrattuali con fornitori e partner esterni.

In sintesi

• La crescente attenzione di gruppi statali verso asset digitali rende più probabile che gli attacchi siano strutturati e ripetuti; gli investitori dovrebbero valutare il rischio operativo delle piattaforme crypto prima di allocare capitale.
• Per le imprese italiane fintech e per i progetti crittografici nazionali, investire in controlli di accesso, protezione dei domini e formazione degli executive è oggi un elemento chiave per preservare valore e reputazione.
• Il mercato potrebbe premiare operatori che dimostrano solide pratiche di governance e resilience: trasparenza sulle misure di sicurezza può diventare un vantaggio competitivo nelle valutazioni degli investitori.