(in)sicurezza digitale

2026-04-17 13:43:48

Laptop farm DPRK smantellata: 9 anni a Kejia Wang, infiltrati in oltre 100 aziende USA e rubato codice ITAR a un defense contractor

Si parla di:
Toggle

• L’architettura dello schema: shell company, KVM e laptop farm
• Cifre, pene e recuperi
• Perché questa sentenza è uno spartiacque
• Segnali operativi per HR, IT e SOC
• Implicazioni per il mercato europeo

Il Dipartimento di Giustizia statunitense ha inflitto il 15 aprile 2026 le prime pene detentive significative per un operatore interno del cosiddetto schema “IT worker” nordcoreano: Kejia “Tony” Wang, 42 anni, è stato condannato a 108 mesi di reclusione; Zhenxing “Danny” Wang, 39 anni, a 92 mesi. I due newjerseyani hanno facilitato l’infiltrazione di lavoratori remoti DPRK in oltre 100 aziende americane — molte Fortune 500 — utilizzando identità rubate di almeno 80 cittadini statunitensi e gestendo dal proprio territorio decine di laptop aziendali per mascherare la geolocalizzazione dei tecnici di Pyongyang. Bottino complessivo per il regime: oltre 5 milioni di dollari, più il furto di file ITAR-controlled a un fornitore militare californiano.

L’architettura dello schema: shell company, KVM e laptop farm

La sentenza chiude una delle indagini più significative sulla campagna nordcoreana di generazione di valuta pregiata via lavoro IT remoto, un filone operativo che analisti e Tesoro USA tracciano almeno dal 2018 e che dopo la pandemia ha trovato nel “Great Remote Work” il proprio vettore ideale. Lo schema gestito dai due Wang si articolava su tre piani.

Piano uno: identità sintetica “domestica”. I cospiratori hanno registrato tre shell company statunitensi — Tony WKJ LLC, Hopana Tech LLC e Independent Lab LLC — con relativi siti web e conti bancari, per proiettare verso le aziende clienti l’illusione di un fornitore o candidato domestico legittimo. A questo si sommano le identità rubate: dati anagrafici, SSN e documenti di 80+ cittadini americani, usati per creare CV, profili LinkedIn e verifiche I-9 superficialmente credibili. Gli stipendi netti venivano incassati sui conti delle shell company e riciclati verso la Corea del Nord attraverso una catena di bonifici e criptovalute.

Piano due: laptop farm fisicamente residente negli USA. La vera innovazione operativa è qui. Le aziende vittima spedivano i computer aziendali all’indirizzo del finto dipendente statunitense. Zhenxing Wang ha ospitato decine di questi laptop nella propria abitazione nel New Brunswick, collegandoli a switch KVM-over-IP o soluzioni simili che consentivano ai lavoratori DPRK reali — fisicamente in Nord Corea, Cina o Russia — di controllarli da remoto come se stessero digitando davanti alla macchina. Dal punto di vista dei controlli aziendali, il traffico usciva da un ISP residenziale del New Jersey, l’IP VPN risultava US-based, gli orari di lavoro corrispondevano al fuso orientale: nessuno degli allarmi standard su geo-velocity o impossibile travel scattava. Kejia Wang ha supervisionato l’operazione gestendo la rete complessiva di laptop farm.

Piano tre: monetizzazione e spionaggio opportunistico. Oltre allo stipendio, i lavoratori DPRK sottraevano proprietà intellettuale quando l’occasione si presentava. In un caso documentato dalla procura, gli operativi nordcoreani hanno esfiltrato source code coperto dalle International Traffic in Arms Regulations (ITAR) da un defense contractor californiano — trattamento normativo riservato a tecnologie militari sensibili il cui trasferimento all’estero è soggetto a controllo federale. Un passaggio che trasforma uno schema di frode sul lavoro in un episodio di controspionaggio tecnologico.

Cifre, pene e recuperi

• Pena Kejia Wang: 108 mesi (9 anni). Guilty plea settembre 2025.
• Pena Zhenxing Wang: 92 mesi (7 anni e 8 mesi). Guilty plea gennaio 2026.
• Capi d’imputazione: cospirazione per frode telematica e cospirazione per riciclaggio di denaro.
• Periodo dell’operazione: 2021 – ottobre 2024.
• Aziende colpite: oltre 100, distribuite in 27 Stati e District of Columbia; fra queste, diverse Fortune 500.
• Identità rubate: almeno 80 cittadini USA.
• Ricavo generato per la DPRK: oltre 5 milioni di dollari.
• Danni economici alle aziende vittime: oltre 3 milioni di dollari in costi legali, investigazioni forensi e remediation.
• Compenso incassato dai facilitator USA: 696.000 dollari complessivi.
• Confisca ordinata: 600.000 dollari (due terzi già versati).

Nove ulteriori co-cospiratori risultano latitanti. Il Dipartimento di Stato ha emesso una taglia da 5 milioni di dollari per informazioni che portino all’identificazione e all’arresto dei soggetti fuggiti.

Perché questa sentenza è uno spartiacque

La campagna IT worker DPRK non è una novità per chi segue la threat intel: FBI, Treasury OFAC, Mandiant, SentinelOne, DTEX, Unit 42 e diversi ricercatori indipendenti ne parlano da anni. Ma le condanne in doppia cifra di anni di carcere, combinate alla confisca e alla ricompensa statale per i latitanti, segnano una discontinuità rispetto alla fase precedente, nella quale il ciclo tipico era identificazione → sanzione OFAC → rimozione da piattaforme freelance. Ora il DOJ sta dimostrando la capacità di smontare anche il nodo domestico — i facilitator americani senza i quali l’intera catena di laptop farm crolla.

Come ha sintetizzato Michael Barnhart, investigatore di DTEX che da anni traccia la materia, «non tutti gli IT worker nordcoreani sono hacker, ma ogni hacker nordcoreano è stato, o può essere, un IT worker». La frase coglie la funzione strategica dello schema: non semplice fraud, ma un bacino di accessi privilegiati ai sistemi target che, al momento opportuno, può essere riconvertito in operazioni di cyberspionaggio o di sabotaggio. Il furto ITAR al fornitore della difesa californiano ne è l’esempio paradigmatico.

Segnali operativi per HR, IT e SOC

Il modello DPRK costringe le aziende a ripensare i controlli di assunzione remota. Diverse segnalazioni convergenti di FBI e vendor di threat intel delineano pattern ricorrenti che i team di HR security e IT dovrebbero codificare:

• Video interview con volto non chiaro, ritardi audio anomali, rifiuto di accendere camera, uso di filtri AI di beauty/avatar.
• Indirizzi di consegna laptop in zone residenziali con elevata densità di precedenti indirizzi di altre assunzioni remote (pattern “laptop farm”).
• Orari di attività incoerenti con il fuso orario dichiarato, accessi VPN che sembrano US ma con fingerprint di sistema (timezone locale, lingua UI, layout tastiera) non coerenti.
• Utilizzo sistematico di VDI personali, RMM o sessioni RDP nidificate che introducono un hop aggiuntivo tra l’IP endpoint e il sistema aziendale.
• Richieste anomale di consegna del laptop a indirizzi diversi da quello di assunzione nei primi giorni.
• Pattern di pagamento verso piattaforme crypto o intermediari esteri anziché conti bancari personali.

Dal lato SOC, conviene integrare regole di detection che confrontino la geolocalizzazione IP dell’endpoint corporate con la timezone effettiva del sistema operativo e con i pattern di input (ritmo di digitazione, layout tastiera attiva): molte laptop farm sono state smascherate proprio da anomalie fra rete e sistema, non dalla sola analisi di rete.

Implicazioni per il mercato europeo

La giurisdizione della condanna è americana, ma il modello è globale. Diverse società europee — inclusi fornitori italiani di servizi IT — hanno già ammesso di aver assunto, in buona fede, lavoratori remoti che rispondevano al profilo DPRK. Il quadro regolatorio UE (NIS2, DORA per il finanziario) non prevede ancora controlli specifici sul rischio “insider nordcoreano”, ma le raccomandazioni FBI e del CISA restano applicabili anche al di qua dell’Atlantico e il CERT italiano ha già diffuso alert generici sul tema. Chi opera con infrastrutture critiche o tecnologie dual-use dovrebbe considerare la due diligence sui contractor remoti un controllo non negoziabile, al pari della verifica antimafia per i subappaltatori fisici.

Laptop farm DPRK smantellata: 9 anni a Kejia Wang, infiltrati in oltre 100 aziende USA e rubato codice ITAR a un defense contractor - (in)sicurezza digitale

Il DOJ ha inflitto le prime pene a doppia cifra di anni a facilitator statunitensi dello schema 'IT worker' nordcoreano.

^{Dario Fadda ((in)sicurezza digitale)}

Spcnet.it

2026-04-17 13:45:21

Azure MCP in Visual Studio 2022: 230+ strumenti Azure direttamente nell’IDE

Addio alle estensioni: Azure MCP è ormai integrato in VS2022

Fino a poco tempo fa, usare gli strumenti Azure MCP in Visual Studio 2022 richiedeva di cercare un’estensione dal Marketplace, installare un file VSIX, riavviare Visual Studio, e sperare che tutto funzionasse. Se qualcosa andava storto, dovevi disinstallare e reinstallare completamente.

Oggi, Microsoft ha integrato nativamente Azure MCP come parte del workload Azure in Visual Studio 2022. Niente più estensioni separate da gestire, niente più problemi di versione mismatch, un unico percorso di aggiornamento. Se hai già il workload Azure installato, accedi a 230+ strumenti Azure con un semplice click.

Cosa è cambiato realmente

La differenza è fondamentale: prima avresti visto questo flusso:

1. Aprire Visual Studio Marketplace
2. Cercare “GitHub Copilot for Azure (VS 2022)”
3. Scaricare e installare l’estensione VSIX
4. Riavviare Visual Studio
5. Sperare che tutto funzioni

Ora il flusso è semplicemente:

1. Avere il workload Azure installato (già incluso in tante installazioni di VS2022)
2. Abilitare il server Azure MCP una volta in Copilot Chat
3. Usare 230+ strumenti Azure direttamente nel tuo IDE

I vantaggi di questa integrazione

1. Zero attrito

Nessun passo di installazione aggiuntivo. Azure MCP arriva automaticamente quando aggiorni Visual Studio, esattamente come gli altri componenti del tuo IDE.

2. Aggiornamenti sincronizzati

La versione di Azure MCP Server viene aggiornata insieme a Visual Studio durante i rilasci regolari. Non ci sono più versioni non allineate tra l’estensione e l’IDE.

3. 230+ strumenti per 45 servizi Azure

Gli strumenti Azure MCP coprono praticamente l’intero ecosistema Azure, da servizi core come Compute e Storage a soluzioni avanzate come Cognitive Services e Machine Learning.

Cosa puoi fare con Azure MCP Tools

Imparare

Chiedi a Copilot Chat informazioni su servizi Azure, best practices, e pattern architetturali direttamente nell’IDE:

// In Copilot Chat:
"Come architettare un'applicazione scalabile su Azure per 1 milione di utenti?"
"Qual è la differenza tra Azure Service Bus e Azure Queue Storage?"

Progettare e sviluppare

Ricevi raccomandazioni su quali servizi Azure usare e genera configurazioni pronte per il tuo codice:

// Copilot suggerisce:
// "Per una web app ad alta concorrenza, consiglio Azure App Service con SQL Database
// e Redis Cache. Vuoi che generi il bicep template?"

Deployare

Provisiona risorse Azure e distribuisci l’applicazione senza lasciare Visual Studio:

// "Crea un'App Service su eastus con auto-scaling da 2 a 10 istanze"
// Copilot esegue i comandi Azure CLI direttamente

Troubleshooter

Accedi a log, verifica lo stato delle risorse, e diagnostica problemi in produzione:

// "Controlla gli ultimi errori nella mia Function App 'MyProcessorApp'"
// Copilot legge i log da Application Insights

Come iniziare

Prerequisiti

• Visual Studio 2022 (versione recente)
• Workload Azure installato
• GitHub Copilot Chat abilitato
• Credenziali Azure configurate localmente

Passaggi

1. Apri GitHub Copilot Chat in Visual Studio
2. Cerca la sezione “Tools” (Strumenti)
3. Abilita “Azure MCP Server”
4. Inizia a scrivere prompt relativi ad Azure

Casi d’uso reali per sviluppatori italiani

Startup e PMI con risorse IT limitate: Usare Copilot + Azure MCP elimina la necessità di un DevOps engineer separato per compiti di infrastruttura semplici.

Team già in Azure: Se usi già servizi come Azure App Service, SQL Database, o Azure Functions, gli strumenti MCP ti permettono di gestirli senza alternare tra Visual Studio e il portale Azure.

Development in Cloud: Con Azure MCP integrato, puoi debuggare, deployare, e troubleshootare applicazioni cloud interamente dall’IDE, migliorando la produttività.

Conclusione

L’integrazione nativa di Azure MCP in Visual Studio 2022 è un esempio di come Microsoft continua a eliminare frizioni dai workflow degli sviluppatori. Non è una feature entusiasmante sulla carta, ma nella pratica quotidiana risparmia tempo e riduce la complessità gestionale. Per qualsiasi team che sviluppa su Azure, abilitare Azure MCP in Copilot Chat dovrebbe essere una delle prime cose da fare.

Fonte: Microsoft Visual Studio Blog – Azure MCP Tools Now Ship Built Into Visual Studio 2022

Azure MCP tools now ship built into Visual Studio 2022 — no extension required - Visual Studio Blog

Azure MCP tools are now built into Visual Studio 2022 as part of the Azure development workload — no separate extension to find, install, or update.

^{Yun Jung Choi (Visual Studio Blog)}

(in)sicurezza digitale

2026-04-17 08:54:20

Kong RAT: la nuova campagna di SEO poisoning con dropper NativeAOT .NET 10 che prende di mira gli sviluppatori cinesi

Si parla di:
Toggle

• Il panorama: SEO poisoning come vettore strategico verso la Cina
• La kill chain in sei stadi
• Tecniche di evasione: il dettaglio che conta
• Post-exploitation e telemetria raccolta
• Attribuzione e contesto
• Indicatori di compromissione
• Raccomandazioni per i difensori

Una nuova campagna di SEO poisoning documentata da eSentire TRU sta prendendo di mira sviluppatori e professionisti IT di lingua cinese con Kong RAT, un impianto modulare distribuito attraverso installer contraffatti di strumenti molto diffusi nell’ecosistema sinofono: FinalShell, Xshell, QuickQ e Clash. La catena di infezione, articolata in sei stadi, abusa di Alibaba Cloud OSS per ospitare i payload di prima fase e combina tecniche di evasione avanzate — da PEB masquerading al bypass UAC tramite CMSTPLUA COM — che la pongono in una fascia qualitativa superiore rispetto alle classiche campagne Gh0st/kkRAT viste nel 2025.

Il panorama: SEO poisoning come vettore strategico verso la Cina

Il SEO poisoning è diventato negli ultimi diciotto mesi uno dei vettori preferiti dagli attori di lingua cinese per colpire il mercato domestico, quasi sempre perché il Great Firewall rende difficile l’accesso ai canali di distribuzione occidentali e spinge utenti e sviluppatori a cercare software tecnici tramite motori di ricerca locali, dove il ranking manipolato porta a domini typosquatted praticamente indistinguibili dagli originali. La telemetria pubblica degli ultimi mesi ha mostrato HiddenGh0st, Winos/ValleyRAT, FatalRAT e kkRAT diffusi con lo stesso schema, con landing page clone di DeepL, Chrome, Signal, Telegram e WPS Office. Kong RAT rappresenta il naturale salto di qualità: un impianto custom scritto ex-novo, non derivato da Gh0st, con un proprio protocollo C2 e un’architettura modulare a plug-in.

La scelta dei “software-esca” è particolarmente chirurgica. FinalShell e Xshell sono client SSH/terminale ampiamente utilizzati da sysadmin e DevOps cinesi; QuickQ e Clash sono utility di rete comunemente associate ad ambienti tecnici. Compromettere questi utenti significa posizionare la backdoor esattamente dove serve: su macchine che hanno credenziali verso server di produzione, bastion host, reti aziendali.

La kill chain in sei stadi

La catena di esecuzione è quella che distingue Kong RAT dalle precedenti campagne di SEO poisoning sinofone. eSentire ha ricostruito sei stadi distinti, ognuno progettato per ridurre la superficie di rilevamento al passaggio successivo:

1. SEO poisoning e landing page contraffatte (finalshell-ssh.com, xshell-cn.com, quickq-cn.com, clash-cn.com) posizionate in cima ai risultati di ricerca tramite tecniche di manipolazione del ranking.
2. Dropper NativeAOT in .NET 10.0. Il Setup.exe iniziale è compilato con NativeAOT, la modalità di compilazione ahead-of-time introdotta con .NET 10: il risultato è un binario privo delle tipiche strutture metadata IL del CLR, quindi non analizzabile con gli strumenti classici per .NET (dnSpy, ILSpy, de4dot). È una scelta che spezza la pipeline di reverse engineering di molti analisti.
3. Orchestratore DLL in-memory che risolve e carica i componenti successivi senza mai toccare il disco.
4. DLL sideloading su rc.exe, il Microsoft Resource Compiler firmato, che carica una rcdll.dll malevola.
5. Shellcode loader tramite callback di EnumWindows: lo shellcode viene eseguito come callback dell’API di enumerazione finestre, aggirando i monitor che agganciano CreateThread/NtCreateThreadEx.
6. Kong RAT eseguibile: l’impianto finale, con C2 TCP proprietario su MPK1, compressione LZ4 e meccanismo di plug-in.

Tecniche di evasione: il dettaglio che conta

Gli operatori di Kong RAT dimostrano familiarità con la moderna superficie di detection EDR. Quattro punti meritano particolare attenzione.

PEB masquerading come explorer.exe. Prima di eseguire le routine malevole, il loader riscrive le strutture del Process Environment Block per far apparire il processo come explorer.exe. Molti prodotti di rilevamento ragionano su liste di processi “attesi” o su reputation: mascherarsi da explorer.exe riduce il segnale verso il SOC.

UAC bypass silente via CMSTPLUA COM. L’abuso dell’interfaccia COM CMSTPLUA è noto dal 2019 ma resta efficace: la shell malevola ottiene privilegi elevati senza prompt grazie all’auto-elevation dell’oggetto COM, senza dover ricorrere a UAC bypass più rumorosi come fodhelper.exe.

Shellcode tramite EnumWindows. Utilizzare una callback API come dispatcher di shellcode è una tecnica di living-off-the-land meno comune delle più note indirizzazioni (QueueUserAPC, SetWindowsHookEx) e aggira l’instrumentation di molti EDR che vigilano sulle primitive di creazione thread.

Persistenza via RPC diretto. Invece di invocare schtasks.exe — che molti SOC monitorano come marker comportamentale — Kong RAT registra task pianificati chiamando direttamente le RPC del Task Scheduler, con nomi del pattern SimpleActivityScheduleTimer_{GUID}. La configurazione finisce in HKCU\Software\KongClient.

Post-exploitation e telemetria raccolta

Una volta insediato, Kong RAT attiva un keylogger basato su GetAsyncKeyState che scrive in chiaro su C:\ProgramData\KongKeylogger.txt, esegue enumerazioni WMI per mappare i prodotti di sicurezza installati e preleva dati di geolocalizzazione via CDN LeTV. Il payload è modulare: plug-in aggiuntivi possono essere caricati dinamicamente dal C2 tramite il protocollo MPK1 su porta TCP 5947, e la configurazione dei plug-in è persistita in registro sotto HKCU\Software\KongClient\Plugins. Il framework supporta anche C2 migration, una caratteristica che aumenta la resilienza dell’infrastruttura contro takedown parziali.

Attribuzione e contesto

Il percorso PDB di alcuni sample contiene il riferimento all’utente 52pojie, nickname riconducibile alla nota community cinese di reverse engineering 52pojie.cn. È un indizio debole — potrebbe essere una false flag — ma coerente con la targeting cinese e con la lingua delle landing page. L’infrastruttura C2 (x.x-x[.]icu:5947, risolta su 45.192.208.126, ASN Antbox Networks Hong Kong) e l’uso di Alibaba Cloud OSS di Hong Kong come stage server rafforzano l’ipotesi di un attore radicato nell’ecosistema APAC, presumibilmente non direttamente state-sponsored ma al servizio di finalità di raccolta credenziali e accesso iniziale rivendibile.

Indicatori di compromissione

# Domini di distribuzione
finalshell-ssh.com
xshell-cn.com
quickq-cn.com
clash-cn.com

# Infrastruttura C2
x.x-x[.]icu:5947
45.192.208.126 (Antbox Networks, Hong Kong)

# URL di stage
kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/zj.mp4

# SHA-256
Setup.exe  D6620D753E746E63B59E1E47943BE5093F24FD3F82E994115CADEEA3720F1AEA
rcdll.dll  2B7D31A83FF817BE7BDD6E9CF92DEA438CA97DC93EA84CBF048F8656F7DD57DD

# Persistenza
%LOCALAPPDATA%\Programs\Bvasted
HKCU\Software\KongClient\LoginPermanent
HKCU\Software\KongClient\Plugins
C:\ProgramData\KongKeylogger.txt
Scheduled Task: SimpleActivityScheduleTimer_{GUID}

Raccomandazioni per i difensori

La campagna Kong RAT ha tre implicazioni concrete per i team di sicurezza, anche al di fuori del perimetro sinofono. Primo: il DLL sideloading su rc.exe è un pattern che qualunque regola EDR dovrebbe coprire, insieme al monitoraggio delle registrazioni task scheduler via RPC anziché via processo schtasks. Secondo: i binari compilati con NativeAOT in .NET 10 renderanno obsoleti i playbook di reverse basati sul CLR classico — gli analisti devono attrezzarsi con strumenti di disassembly nativo (Ghidra, IDA Pro, Binary Ninja) e familiarizzare con le convenzioni di chiamata di NativeAOT. Terzo: il monitoraggio di GetAsyncKeyState in combinazione con scritture in C:\ProgramData continua a essere un indicatore comportamentale molto efficace, ma solo se integrato nei playbook di hunting e non delegato alla sola signature.

Sul fronte preventivo, le organizzazioni con dipendenti o fornitori cinesi dovrebbero considerare block-list dei quattro domini sopra citati e verificare che nessuno abbia scaricato installer di FinalShell/Xshell/QuickQ/Clash al di fuori dei mirror ufficiali. Per i CERT italiani con controparti manifatturiere in Asia, la campagna rappresenta un vettore realistico di compromissione della supply chain attraverso il laptop di un consulente o di un partner locale.

Kong RAT: la nuova campagna di SEO poisoning con dropper NativeAOT .NET 10 che prende di mira gli sviluppatori cinesi - (in)sicurezza digitale

eSentire TRU ha documentato Kong RAT, un impianto modulare distribuito via installer contraffatti di FinalShell, Xshell, QuickQ e Clash. La catena a sei stadi sfrutta un dropper NativeAOT in .

^{Dario Fadda ((in)sicurezza digitale)}