Lazarus Group: come i cybercriminali nordcoreani rubano le criptovalute
Un gruppo di hacker ha rubato più criptovalute di chiunque altro nella storia. E per di più lavora per un governo. Il Lazarus Group è l'organizzazione di hacking statale della Corea del Nord e, per loro, rubare criptovalute non è un'attività secondaria. È il lavoro principale, una fonte di entrate per lo Stato con tanto di stipendio. In un buon anno, secondo i loro standard, il gruppo sottrae oltre due miliardi di dollari da exchange, bridge e portafogli digitali. La maggior parte di questi soldi sparisce prima ancora che qualcuno presenti una denuncia.
Questa guida illustra chi sono, le più grandi rapine a loro collegate, come si svolge un attacco, come viene riciclato il denaro e quanto è sparito. L'attenzione rimane focalizzata sulle criptovalute. È lì che si colloca ora questa storia.
Chi è veramente il Gruppo Lazarus
Dimenticate l'immagine del singolo hacker con la felpa con cappuccio. Il Lazarus Group è più simile a un dipartimento governativo con tanto di libro paga. Le agenzie occidentali lo collegano all'Ufficio Generale di Ricognizione della Corea del Nord, il principale servizio di intelligence estera del paese, e alle unità talvolta denominate Ufficio 121. I ricercatori di sicurezza informatica lo considerano un unico gruppo di minaccia, sebbene in pratica si tratti di un insieme di team che gestiscono le operazioni informatiche offensive del governo nordcoreano. Le persone dietro le tastiere sono addestrate, retribuite e incaricate, e la loro lista di obiettivi è stabilita dallo Stato.
Il gruppo è noto con diversi nomi a seconda di chi redige il rapporto: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Gli analisti lo suddividono in sottogruppi con compiti diversi. BlueNoroff si occupa di estorcere denaro a banche e aziende di criptovalute, Andariel si dedica allo spionaggio e alle attività di disturbo, mentre il gruppo più ampio Lazarus gestisce gli attacchi più eclatanti. È attivo in qualche forma dal 2009 circa, il che lo rende uno dei gruppi di hacker più longevi e motivati finanziariamente al mondo.
Ciò che distingue Lazarus dalla maggior parte degli hacker statali è la motivazione. Russia e Cina spiano perlopiù. La Corea del Nord ruba per finanziarsi. Nel settembre 2019 il Dipartimento del Tesoro degli Stati Uniti ha formalmente sanzionato Lazarus e due gruppi correlati, BlueNoroff e Andariel, definendoli bracci dello stato nordcoreano. Un'azienda di sicurezza ha riassunto efficacemente il gruppo: un'organizzazione criminale con una bandiera.
Da Sony a WannaCry: gli inizi
Prima delle criptovalute, Lazarus si è fatta un nome seminando il caos. Il film del 2014, che ha colpito la Sony Pictures Entertainment, ha messo sotto contratto Guardians of Peace, ha cancellato dati dai sistemi, ha diffuso film inediti e ha divulgato anni di email interne. Il movente apparente? Una commedia che prendeva in giro il leader nordcoreano. Chiassosa, politica, distruttiva. Non ancora redditizia.
Poi è arrivato il denaro. Nel 2016 il gruppo ha quasi messo a segno una delle più grandi rapine in banca mai tentate, inviando messaggi SWIFT fraudolenti per prelevare 951 milioni di dollari dal conto della Banca del Bangladesh presso la Federal Reserve di New York. Un errore di battitura e un pizzico di fortuna hanno impedito la maggior parte del bottino. Circa 81 milioni di dollari sono comunque sfuggiti al controllo. Quell'attacco informatico ha dimostrato che Lazarus poteva derubare istituzioni finanziarie da una tastiera, trasformando il cybercrimine gestito dallo Stato in una vera e propria fonte di profitto.
Poi, nel 2017, arrivò WannaCry, un ransomware che bloccò centinaia di migliaia di computer in circa 150 paesi e mandò in tilt anche gli ospedali del Regno Unito. Fu un attacco maldestro e non fruttò quasi nulla. Ma dimostrò la sua portata. Così, quando il mondo delle criptovalute si consolidò, Lazarus aveva già alle spalle un decennio di esperienza nel movimentare denaro che non aveva il diritto di toccare.
Perché gli hacker nordcoreani prendono di mira le criptovalute
Per un regime isolato dal sistema bancario globale, le criptovalute sono fin troppo convenienti. Le sanzioni possono congelare un conto bancario e bloccare un bonifico SWIFT, ma nessuno può impedire a un portafoglio di ricevere fondi. Le criptovalute attraversano i confini in pochi minuti, vengono elaborate in modo irreversibile e possono essere manipolate tramite strumenti progettati per non lasciare tracce.
Così la Corea del Nord ha cambiato strategia. Perché rischiare una rapina in banca che può essere annullata con una semplice telefonata, quando un attacco tramite bridge rende dieci volte di più e non può essere recuperato? Il bilancio è nettamente a favore dell'attaccante. Un trasferimento SWIFT fallito viene bloccato e restituito; un prelievo tramite bridge andato a buon fine è definitivo nel momento stesso in cui il blocco viene confermato. Non c'è una controparte da contattare, nessun chargeback, nessun tribunale con giurisdizione su un portafoglio. Gli investigatori e le Nazioni Unite stimano ora che le criptovalute rubate finanzino una quota consistente delle entrate estere del paese e una parte significativa del suo programma di armamenti, sebbene queste percentuali esatte provengano da valutazioni dell'intelligence piuttosto che da dati pubblici.
Le più grandi rapine di criptovalute del gruppo Lazarus
Già da un po' queste cifre hanno smesso di sembrare quelle di un crimine. Sembrano il bilancio di uno Stato. Il furto più grande in assoluto, quello ai danni di Bybit, è più ingente della somma di tutti i furti successivi e di qualsiasi rapina in banca non legata alle criptovalute nella storia.
| Rapina | Data | Quantità | Metodo |
|---|---|---|---|
| Bybit | Febbraio 2025 | Circa 1,5 miliardi di dollari | Interfaccia di firma multisig manipolata |
| Ponte Ronin (Axie) | Marzo 2022 | ~$625 milioni | Chiavi private del validatore rubate |
| DMM Bitcoin | Maggio 2024 | ~$308 milioni | Falso reclutatore, dipendente compromesso |
| WazirX | Luglio 2024 | ~$235 milioni | Violazione dell'infrastruttura del portafoglio |
| Harmony Horizon | Giugno 2022 | Circa 100 milioni di dollari | Chiavi del ponte compromesse |
| Portafoglio atomico | Giugno 2023 | >$100 milioni | Aggiornamento del software Malisu |
Osservando attentamente, si nota come gli stessi punti deboli continuino a ripresentarsi. Il furto Ronin ha funzionato perché gli aggressori hanno ottenuto il controllo di cinque delle nove chiavi di validazione che proteggevano il bridge, un numero sufficiente per approvare i propri prelievi, dopo aver compromesso un ingegnere senior. Bybit è stato più subdolo: invece di violare il cold wallet , gli aggressori hanno corrotto l'interfaccia visualizzata dai firmatari, in modo che il team approvasse un trasferimento che sembrava di routine ma non lo era affatto. In entrambi i casi la crittografia ha retto. Gli esseri umani e il software che la gestivano, invece, no.
Le cifre variano a seconda della fonte perché di solito sono ancorate al prezzo del token nel giorno dell'attacco, e Lazarus tende a rubare asset volatili come l'ether. La cifra relativa a Ronin oscilla tra i 540 e i 625 milioni di dollari, a seconda di chi effettua il calcolo, mentre per Bybit si parla di cifre comprese tra 1,4 e 1,5 miliardi di dollari. Lo schema di fondo è sempre lo stesso: colpire bridge , exchange di criptovalute e software per wallet, i punti critici in cui un singolo fallimento può scatenare una fortuna.
Come si svolge un attacco hacker al gruppo Lazarus
Ecco la parte che sorprende tutti. Questi furti da record raramente iniziano con qualche impresa esotica e inarrestabile. Iniziano con una persona che viene ingannata. La parte astuta e irreversibile arriva dopo, quando il denaro deve sparire.
La via d'accesso: offerte di lavoro fasulle e phishing
Lazarus è paziente e socievole. Il suo schema collaudato, spesso chiamato "Operazione Lavoro da Sogno", consiste nel fingersi un reclutatore su LinkedIn o in una community di sviluppatori e offrire un lavoro da sogno presso un'azienda apparentemente reale. A un certo punto del colloquio, arriva un "test di programmazione" o un PDF, e aprendolo si installa un malware. Si ritiene che il furto di Bitcoin da parte di DMM sia iniziato proprio in questo modo, con un finto reclutatore che ha compromesso un dipendente di un'azienda collegata. Lo stesso approccio è stato utilizzato contro gli sviluppatori di tutto il settore attraverso pacchetti npm e repository GitHub infetti, camuffati da legittimi esempi di lavoro. Nessun firewall ferma un ingegnere a cui è stato detto che il file è un compito di lavoro, ed è proprio per questo che l'ingegneria sociale, e non qualche exploit inviolabile, apre la maggior parte di queste porte.
Finti tecnici informatici all'interno dell'edificio
Il nuovo stratagemma è ancora più audace: invece di introdursi illegalmente nei sistemi, la Corea del Nord si candida per il lavoro. Migliaia di lavoratori IT nordcoreani si sono spacciati per sviluppatori da remoto, utilizzando identità americane rubate e server di laptop gestiti da intermediari locali, in modo che sembri che il lavoratore si connetta dal Texas anziché da Pyongyang. Una volta assunti da aziende tecnologiche e di criptovalute occidentali, trasferiscono i loro stipendi a casa e a volte installano accessi non autorizzati per un successivo furto. Il Dipartimento di Giustizia degli Stati Uniti ha preso di mira entrambi i lati di questo schema, con un procedimento giudiziario del dicembre 2024 che ha incriminato quattordici nordcoreani e azioni legali del 2025 contro gli intermediari con sede negli Stati Uniti che ospitavano i laptop. Si tratta di spionaggio mascherato da inserimento in busta paga.
Incassare: miscelatori e ponti
Rubare le criptovalute è metà del lavoro; la parte più difficile è spenderle. Lazarus fa passare i fondi rubati attraverso piattaforme di mixing come Tornado Cash, sanzionata dagli Stati Uniti nel 2022, e Sinbad, sanzionata alla fine del 2023, per poi trasferire il denaro tra diverse blockchain tramite bridge e scambi tra asset per confondere le tracce, prima di incassarlo tramite exchange con controlli deboli. Il processo è rapido e automatizzato; dopo il caso Bybit, gli investigatori hanno visto i fondi disperdersi in centinaia di portafogli nel giro di poche ore. Si tratta di riciclaggio su scala industriale, e funziona così spesso che il regime continua a praticarlo.
Quanto ha rubato il gruppo Lazarus?
A ben guardare, le cifre sono difficili da elaborare. Secondo Chainalysis , hacker legati alla Corea del Nord hanno rubato circa 2,02 miliardi di dollari in criptovalute nel 2025, con un aumento del 51% rispetto all'anno precedente, portando il totale complessivo a oltre 6,75 miliardi di dollari. Nel 2025, il Paese ha rappresentato circa il 76% di tutto il valore rubato ai servizi di criptovalute a livello globale. Un solo Stato, tre quarti del danno.
| Periodo | Rubato (criptovaluta) | Fonte |
|---|---|---|
| 2024 (confermato dai governi) | ~$659 milioni | Dichiarazione congiunta di Stati Uniti, Giappone e Corea del Sud |
| 2024 (attribuzione completa) | Circa 1,19 miliardi di dollari | Analisi a catena / Mandiant |
| 2025 | Circa 2,02 miliardi di dollari | Analisi a catena |
| Di tutti i tempi (limite inferiore) | ~$6,75 miliardi | Analisi a catena |
Le cifre del 2024 non concordano perché misurano cose diverse: i governi hanno confermato una manciata di furti specifici, mentre le società di analisi ne hanno attribuiti di più tramite il tracciamento on-chain. In entrambi i casi, la tendenza è al rialzo. Un'analisi del Panel di esperti delle Nazioni Unite ha contato circa 58 presunti attacchi di criptovalute nordcoreani per un valore di circa 3 miliardi di dollari tra il 2017 e il 2023, prima ancora che venissero stabiliti i record del 2024 e del 2025. Lo stesso organismo ha riferito che questo denaro contribuisce a finanziare il programma di armamenti della Corea del Nord, un'affermazione basata sull'intelligence degli Stati membri piuttosto che su bilanci certificati, ma che ridefinisce ogni violazione di un exchange come qualcosa di più simile a un evento geopolitico.
Sanzioni, incriminazioni e la risposta
Quindi, cosa si può fare concretamente? Denunciarli, sanzionarli, incriminarli. Arrestarli, quasi mai, perché risiedono a Pyongyang.
La documentazione a supporto è ormai lunga. Il Tesoro ha inserito Lazarus nella lista nera già nel 2019, per poi prendere di mira i mixer di denaro su cui si basa, Tornado Cash e Sinbad. Anche i pubblici ministeri si sono uniti all'azione, incriminando hacker già dal 2021 e, più recentemente, le persone che gestiscono il sistema di reclutamento fraudolento di lavoratori IT. Buona fortuna con l'esecuzione dei mandati.
Recuperare i soldi è ancora più raro. Dopo il furto di Ronin, gli investigatori sono riusciti a recuperare una parte dei fondi con l'aiuto dell'FBI e di Chainalysis. Una parte. Il resto era sparito. E le sanzioni hanno la brutta abitudine di spostare il problema: se si mette Tornado Cash nella lista nera, i soldi finiscono a Sinbad; se si colpisce Sinbad, il gruppo trova il prossimo bersaglio. Ogni mossa rende il recupero dei fondi più costoso e complicato. Niente di tutto ciò ferma il furto alla fonte. Non si può estradare un governo.
È possibile fermare il Gruppo Lazarus?
Onestamente, non bastano solo le sanzioni. La difesa che conta davvero si svolge prima della violazione e ricade sulle piattaforme di scambio e sugli utenti, non sui pubblici ministeri. Questo significa autorizzazione tramite hardware per i trasferimenti di grandi dimensioni, considerare un reclutatore non richiesto come una minaccia anziché come un'opportunità e rifiutarsi di permettere a un singolo laptop compromesso di firmare un conto in banca. Significa anche verificare ciò che si sta effettivamente firmando, invece di fidarsi di una schermata, proprio la falla che è costata a Bybit oltre un miliardo di dollari. L'asimmetria è brutale: chi si difende deve avere ragione ogni volta, mentre a Lazzaro basta un ingegnere per aprire un file. L'obiettivo realistico non è eliminare il gruppo, ma rendere ogni furto più lento, più piccolo e più difficile da riciclare, in modo che la prossima falla da un miliardo di dollari semplicemente non esista.
Perché Lazarus Group è importante per le criptovalute
Lazarus ha preso le caratteristiche di cui le criptovalute vanno più fiere, ovvero l'assenza di confini e l'irreversibilità, e le ha trasformate in uno strumento di finanziamento statale. Questa è la lezione scomoda: lo stesso modello che libera il denaro dalle banche lo rende anche inutilizzabile. La sicurezza delle criptovalute non è più solo una questione personale relativa alle proprie chiavi; è diventata una questione di sicurezza nazionale per diversi paesi contemporaneamente. Ogni bridge non verificato e ogni exchange con controlli lassisti rappresenta una potenziale voce di spesa nel bilancio dei missili. La domanda su cui vale la pena riflettere è come un sistema finanziario aperto e senza permessi si difenda da un avversario paziente e ben finanziato che considera il furto su larga scala una questione di politica estera.
