{"id":142650,"date":"2025-06-06T12:08:02","date_gmt":"2025-06-06T19:08:02","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=142650"},"modified":"2025-06-11T07:23:44","modified_gmt":"2025-06-11T14:23:44","slug":"north-korean-synthetic-identity-creation","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/it\/north-korean-synthetic-identity-creation\/","title":{"rendered":"Falso volto: La Unit 42 dimostra l'allarmante facilit\u00e0 con cui \u00e8 possibile creare identit\u00e0 sintetiche"},"content":{"rendered":"

<\/a>Sintesi<\/h2>\n

Le prove indicano che informatici nordcoreani utilizzano la tecnologia deepfake in tempo reale per infiltrarsi nelle organizzazioni attraverso posizioni di lavoro remote, il che comporta rischi significativi per la sicurezza, la legge e la conformit\u00e0. Le strategie di rilevamento delineate in questo report forniscono ai team responsabili di sicurezza e delle risorse umane una guida pratica per rafforzare i processi di assunzione e bloccare questa minaccia.<\/p>\n

Nella nostra dimostrazione, \u00e8 bastata poco pi\u00f9 di un'ora, senza alcuna esperienza precedente, per capire come creare un deepfake in tempo reale utilizzando strumenti facilmente reperibili e hardware di consumo a basso costo. Questo permette agli antagonisti di creare facilmente identit\u00e0 sintetiche convincenti, consentendo loro di operare senza essere scoperti e potenzialmente di generare ricavi per regimi sanzionati.<\/p>\n

Sebbene sia ancora possibile riscontrare limiti nell'attuale tecnologia deepfake, questi limiti stanno rapidamente diminuendo. Le organizzazioni devono implementare diversi livelli di difesa combinando procedure di verifica rafforzate, controlli tecnici e monitoraggio continuo durante il ciclo di vita dei dipendenti.<\/p>\n

I clienti di Palo Alto Networks sono pi\u00f9 protetti dalle minacce esaminate in questo articolo grazie ai Servizi per minacce interne della Unit 42<\/a>.<\/p>\n

Le organizzazioni possono coinvolgere il team di risposta agli incidenti della Unit 42<\/a> per ricevere assistenza specifica su questa e altre minacce.<\/p>\n

<\/a>Colloqui ai nordcoreani<\/h2>\n

Le community che si occupano di acquisizione di talenti e cybersecurity hanno recentemente segnalato un'impennata di candidati che utilizzano deepfake in tempo reale durante i colloqui di lavoro. Gli investigatori hanno documentato casi in cui gli intervistati hanno presentato feed video sintetici, utilizzando sfondi virtuali identici per diversi profili di candidati, come mostrato nella Figura 1.<\/p>\n

\"Schermate
Figura 1. Un confronto fianco a fianco di due candidati deepfake Fonte: Daniel Grek Sanchez Castellanos<\/a> e Bettina Liporazzi<\/a>.<\/figcaption><\/figure>\n

La newsletter Pragmatic Engineer<\/a> ha documentato un caso di studio che coinvolge un'azienda polacca di intelligenza artificiale che si \u00e8 imbattuta in due diversi candidati deepfake. Gli intervistatori hanno sospettato che fosse la stessa persona a gestire entrambi i profili, in particolare quando l'operatore ha mostrato una maggiore sicurezza durante il secondo colloquio tecnico dopo aver sperimentato in precedenza il formato e le domande del colloquio.<\/p>\n

L'analisi degli indicatori della Unit 42, condivisa nel report di Pragmatic Engineer, si allinea con le tattiche, le tecniche e le procedure (TTP) note attribuite a operazioni di informatici<\/a> della Repubblica Popolare Democratica di Corea (RPDC). Questo rappresenta una logica evoluzione del loro consolidato schema di infiltrazione sul lavoro fraudolento.<\/p>\n

Gli attori di minacce nordcoreani hanno costantemente dimostrato un interesse significativo per le tecniche di manipolazione dell'identit\u00e0. Nella nostra indagine 2023<\/a> abbiamo riferito dei loro sforzi per creare identit\u00e0 sintetiche supportate da informazioni personali compromesse, rendendo pi\u00f9 difficile la loro individuazione.<\/p>\n

Abbiamo trovato ulteriori prove quando abbiamo analizzato la violazione di Cutout.pro<\/a>, un servizio di manipolazione di immagini AI, che ha rivelato decine di indirizzi e-mail probabilmente legati alle operazioni di informatici della RPDC. La Figura 2 mostra una manipolazione dell'immagine di questo tipo in scatti con scambio del volto.<\/p>\n

\"Immagini
Figura 2. Un operatore nordcoreano sperimenta lo scambio del volto.<\/figcaption><\/figure>\n

Gli informatici della RPDC hanno progressivamente perfezionato la loro metodologia di infiltrazione implementando la tecnologia deepfake in tempo reale. Questa offre due vantaggi operativi fondamentali. In primo luogo, consente a un singolo operatore di sostenere pi\u00f9 volte un colloquio per la stessa posizione utilizzando diversi profili sintetici. In secondo luogo, aiuta gli operatori a evitare di essere identificati e inseriti nei bollettini della sicurezza e negli avvisi di ricercati, come quello mostrato nella Figura 3. Insieme, aiuta gli informatici della RPDC a usufruire di una maggiore sicurezza operativa e di una minore rilevabilit\u00e0.<\/p>\n

\"Manifesto
Figura 3. Un poster di ricercati<\/a> per informatici della RPDC, recuperato il 20 marzo 2025.<\/figcaption><\/figure>\n

<\/a>Da zero a passabile<\/h2>\n

Un singolo ricercatore senza esperienza nella manipolazione delle immagini, con conoscenze limitate di deepfake e un computer di cinque anni ha creato un'identit\u00e0 sintetica per i colloqui di lavoro in 70 minuti. La facilit\u00e0 di creazione dimostra quanto questa tecnologia sia diventata pericolosamente accessibile agli attori di minacce.<\/p>\n

Utilizzando solo un motore di ricerca AI, una connessione Internet anche non estremamente performante e una GPU (unit\u00e0 di elaborazione grafica) GTX 3070 acquistata alla fine del 2020, hanno prodotto il campione mostrato nella Figura 4.<\/p>\n

\n