Laptop farm DPRK smantellata: 9 anni a Kejia Wang, infiltrati in oltre 100 aziende USA e rubato codice ITAR a un defense contractor
@Informatica (Italy e non Italy)
Il DOJ ha inflitto le prime pene a doppia cifra di anni a facilitator statunitensi dello schema 'IT worker' nordcoreano. Kejia e Zhenxing Wang, 9 e 7
Laptop farm DPRK smantellata: 9 anni a Kejia Wang, infiltrati in oltre 100 aziende USA e rubato codice ITAR a un defense contractor
Si parla di:
Toggle
- L’architettura dello schema: shell company, KVM e laptop farm
- Cifre, pene e recuperi
- Perché questa sentenza è uno spartiacque
- Segnali operativi per HR, IT e SOC
- Implicazioni per il mercato europeo
Il Dipartimento di Giustizia statunitense ha inflitto il 15 aprile 2026 le prime pene detentive significative per un operatore interno del cosiddetto schema “IT worker” nordcoreano: Kejia “Tony” Wang, 42 anni, è stato condannato a 108 mesi di reclusione; Zhenxing “Danny” Wang, 39 anni, a 92 mesi. I due newjerseyani hanno facilitato l’infiltrazione di lavoratori remoti DPRK in oltre 100 aziende americane — molte Fortune 500 — utilizzando identità rubate di almeno 80 cittadini statunitensi e gestendo dal proprio territorio decine di laptop aziendali per mascherare la geolocalizzazione dei tecnici di Pyongyang. Bottino complessivo per il regime: oltre 5 milioni di dollari, più il furto di file ITAR-controlled a un fornitore militare californiano.L’architettura dello schema: shell company, KVM e laptop farm
La sentenza chiude una delle indagini più significative sulla campagna nordcoreana di generazione di valuta pregiata via lavoro IT remoto, un filone operativo che analisti e Tesoro USA tracciano almeno dal 2018 e che dopo la pandemia ha trovato nel “Great Remote Work” il proprio vettore ideale. Lo schema gestito dai due Wang si articolava su tre piani.Piano uno: identità sintetica “domestica”. I cospiratori hanno registrato tre shell company statunitensi — Tony WKJ LLC, Hopana Tech LLC e Independent Lab LLC — con relativi siti web e conti bancari, per proiettare verso le aziende clienti l’illusione di un fornitore o candidato domestico legittimo. A questo si sommano le identità rubate: dati anagrafici, SSN e documenti di 80+ cittadini americani, usati per creare CV, profili LinkedIn e verifiche I-9 superficialmente credibili. Gli stipendi netti venivano incassati sui conti delle shell company e riciclati verso la Corea del Nord attraverso una catena di bonifici e criptovalute.
Piano due: laptop farm fisicamente residente negli USA. La vera innovazione operativa è qui. Le aziende vittima spedivano i computer aziendali all’indirizzo del finto dipendente statunitense. Zhenxing Wang ha ospitato decine di questi laptop nella propria abitazione nel New Brunswick, collegandoli a switch KVM-over-IP o soluzioni simili che consentivano ai lavoratori DPRK reali — fisicamente in Nord Corea, Cina o Russia — di controllarli da remoto come se stessero digitando davanti alla macchina. Dal punto di vista dei controlli aziendali, il traffico usciva da un ISP residenziale del New Jersey, l’IP VPN risultava US-based, gli orari di lavoro corrispondevano al fuso orientale: nessuno degli allarmi standard su geo-velocity o impossibile travel scattava. Kejia Wang ha supervisionato l’operazione gestendo la rete complessiva di laptop farm.
Piano tre: monetizzazione e spionaggio opportunistico. Oltre allo stipendio, i lavoratori DPRK sottraevano proprietà intellettuale quando l’occasione si presentava. In un caso documentato dalla procura, gli operativi nordcoreani hanno esfiltrato source code coperto dalle International Traffic in Arms Regulations (ITAR) da un defense contractor californiano — trattamento normativo riservato a tecnologie militari sensibili il cui trasferimento all’estero è soggetto a controllo federale. Un passaggio che trasforma uno schema di frode sul lavoro in un episodio di controspionaggio tecnologico.
Cifre, pene e recuperi
- Pena Kejia Wang: 108 mesi (9 anni). Guilty plea settembre 2025.
- Pena Zhenxing Wang: 92 mesi (7 anni e 8 mesi). Guilty plea gennaio 2026.
- Capi d’imputazione: cospirazione per frode telematica e cospirazione per riciclaggio di denaro.
- Periodo dell’operazione: 2021 – ottobre 2024.
- Aziende colpite: oltre 100, distribuite in 27 Stati e District of Columbia; fra queste, diverse Fortune 500.
- Identità rubate: almeno 80 cittadini USA.
- Ricavo generato per la DPRK: oltre 5 milioni di dollari.
- Danni economici alle aziende vittime: oltre 3 milioni di dollari in costi legali, investigazioni forensi e remediation.
- Compenso incassato dai facilitator USA: 696.000 dollari complessivi.
- Confisca ordinata: 600.000 dollari (due terzi già versati).
Nove ulteriori co-cospiratori risultano latitanti. Il Dipartimento di Stato ha emesso una taglia da 5 milioni di dollari per informazioni che portino all’identificazione e all’arresto dei soggetti fuggiti.
Perché questa sentenza è uno spartiacque
La campagna IT worker DPRK non è una novità per chi segue la threat intel: FBI, Treasury OFAC, Mandiant, SentinelOne, DTEX, Unit 42 e diversi ricercatori indipendenti ne parlano da anni. Ma le condanne in doppia cifra di anni di carcere, combinate alla confisca e alla ricompensa statale per i latitanti, segnano una discontinuità rispetto alla fase precedente, nella quale il ciclo tipico era identificazione → sanzione OFAC → rimozione da piattaforme freelance. Ora il DOJ sta dimostrando la capacità di smontare anche il nodo domestico — i facilitator americani senza i quali l’intera catena di laptop farm crolla.Come ha sintetizzato Michael Barnhart, investigatore di DTEX che da anni traccia la materia, «non tutti gli IT worker nordcoreani sono hacker, ma ogni hacker nordcoreano è stato, o può essere, un IT worker». La frase coglie la funzione strategica dello schema: non semplice fraud, ma un bacino di accessi privilegiati ai sistemi target che, al momento opportuno, può essere riconvertito in operazioni di cyberspionaggio o di sabotaggio. Il furto ITAR al fornitore della difesa californiano ne è l’esempio paradigmatico.
Segnali operativi per HR, IT e SOC
Il modello DPRK costringe le aziende a ripensare i controlli di assunzione remota. Diverse segnalazioni convergenti di FBI e vendor di threat intel delineano pattern ricorrenti che i team di HR security e IT dovrebbero codificare:
- Video interview con volto non chiaro, ritardi audio anomali, rifiuto di accendere camera, uso di filtri AI di beauty/avatar.
- Indirizzi di consegna laptop in zone residenziali con elevata densità di precedenti indirizzi di altre assunzioni remote (pattern “laptop farm”).
- Orari di attività incoerenti con il fuso orario dichiarato, accessi VPN che sembrano US ma con fingerprint di sistema (timezone locale, lingua UI, layout tastiera) non coerenti.
- Utilizzo sistematico di VDI personali, RMM o sessioni RDP nidificate che introducono un hop aggiuntivo tra l’IP endpoint e il sistema aziendale.
- Richieste anomale di consegna del laptop a indirizzi diversi da quello di assunzione nei primi giorni.
- Pattern di pagamento verso piattaforme crypto o intermediari esteri anziché conti bancari personali.
Dal lato SOC, conviene integrare regole di detection che confrontino la geolocalizzazione IP dell’endpoint corporate con la timezone effettiva del sistema operativo e con i pattern di input (ritmo di digitazione, layout tastiera attiva): molte laptop farm sono state smascherate proprio da anomalie fra rete e sistema, non dalla sola analisi di rete.
Implicazioni per il mercato europeo
La giurisdizione della condanna è americana, ma il modello è globale. Diverse società europee — inclusi fornitori italiani di servizi IT — hanno già ammesso di aver assunto, in buona fede, lavoratori remoti che rispondevano al profilo DPRK. Il quadro regolatorio UE (NIS2, DORA per il finanziario) non prevede ancora controlli specifici sul rischio “insider nordcoreano”, ma le raccomandazioni FBI e del CISA restano applicabili anche al di qua dell’Atlantico e il CERT italiano ha già diffuso alert generici sul tema. Chi opera con infrastrutture critiche o tecnologie dual-use dovrebbe considerare la due diligence sui contractor remoti un controllo non negoziabile, al pari della verifica antimafia per i subappaltatori fisici.
Gazzetta del Cadavere reshared this.