Jasper Sleet: infiltrazioni AI tramite assunzioni fraudolente

Il panorama delle minacce informatiche si è evoluto drammaticamente negli ultimi anni, con attori statali che sfruttano le nuove modalità di lavoro per infiltrarsi nelle organizzazioni. Il gruppo nordcoreano Jasper Sleet (precedentemente noto come Storm-0287) rappresenta una delle minacce più sofisticate del momento, utilizzando l’intelligenza artificiale per orchestrare campagne di infiltrazione attraverso assunzioni fraudolente che mettono a rischio la sicurezza delle aziende di tutto il mondo.

Come funziona l’infiltrazione tramite assunzioni fraudolente

La strategia di Jasper Sleet sfrutta il boom del lavoro remoto post-pandemia per bypassare i controlli di sicurezza tradizionali. Gli attaccanti nordcoreani creano identità digitali completamente fabricate utilizzando strumenti di intelligenza artificiale generativa per sviluppare profili professionali convincenti.

Il processo di creazione delle false identità include:

• Generazione di dati personali: nomi, indirizzi email e numeri di telefono credibili
• Curriculum vitae falsificati: esperienze lavorative e competenze tecniche adattate alle posizioni ricercate
• Profili LinkedIn elaborati: con connessioni, raccomandazioni e storia professionale dettagliata
• Portfolio professionali: progetti e lavori precedenti generati artificialmente
• Immagini professionali: create tramite FaceSwap, spesso sovrapponendo volti di lavoratori nordcoreani su foto rubate

Durante i colloqui, questi attori utilizzano software di modifica vocale per mascherare gli accenti e superare i processi di selezione senza destare sospetti.

L’uso strategico dell’intelligenza artificiale nelle operazioni

La componente più preoccupante di questa campagna è l’uso sistematico dell’AI per mantenere e perfezionare l’inganno. Gli attaccanti analizzano attentamente gli annunci di lavoro su piattaforme come Upwork, LinkedIn e altri siti di carriere per:

• Adattare i profili alle competenze richieste
• Generare risposte tecniche convincenti durante l’impiego
• Mantenere comunicazioni coerenti con l’identità falsificata
• Produrre contenuti professionali che giustifichino la loro presenza nell’organizzazione

Una volta assunti, questi falsi dipendenti riescono a mantenere l’impiego per periodi prolungati, utilizzando l’AI per fornire risposte tecniche credibili e svolgere compiti lavorativi mentre contemporaneamente conducono attività di ricognizione e movimento laterale nei sistemi aziendali.

Comportamenti sospetti e indicatori di compromissione

Nonostante la sofisticatezza dell’operazione, alcuni segnali possono rivelare la presenza di questi attori:

• Accessi da località geografiche incoerenti o tramite proxy anonimi
• Patterns di utilizzo anomali degli strumenti aziendali
• Attività sospette su piattaforme come Microsoft Teams, SharePoint e OneDrive
• Richieste insolite di accesso a sistemi o dati sensibili

Impatti sulla sicurezza aziendale

L’infiltrazione attraverso assunzioni fraudolente rappresenta un rischio interno persistente che può avere conseguenze devastanti per le organizzazioni. Una volta stabiliti all’interno dell’ambiente aziendale, questi attori hanno accesso legittimo a:

• Strumenti di collaborazione: Microsoft Teams, Slack, e altre piattaforme di comunicazione
• Sistemi di archiviazione: SharePoint, OneDrive, e repository di documenti
• Risorse interne: database, applicazioni aziendali e infrastrutture IT
• Informazioni sensibili: proprietà intellettuale, dati dei clienti e segreti commerciali

La compromissione può portare a furto di dati sensibili, estorsioni e danneggiamento della reputazione aziendale. Inoltre, la natura “legittima” dell’accesso rende estremamente difficile la rilevazione attraverso i tradizionali strumenti di sicurezza.

Strategie di difesa e mitigazione

Per proteggersi da questa minaccia emergente, le organizzazioni devono implementare un approccio multi-livello che combini controlli HR rafforzati con tecnologie di sicurezza avanzate.

Collaborazione tra team di sicurezza e risorse umane

La prima linea di difesa richiede una stretta collaborazione tra i team di sicurezza informatica e le risorse umane:

• Verifiche approfondite dei candidati: analisi visive dettagliate durante i colloqui video
• Controlli incrociati delle referenze: verifica indipendente delle esperienze lavorative precedenti
• Screening rigoroso: particolare attenzione per posizioni completamente remote
• Documentazione dell’identità: richiesta di documenti ufficiali e verifica della loro autenticità

Monitoraggio comportamentale avanzato

L’implementazione di strumenti di monitoraggio comportamentale come Microsoft Defender for Cloud Apps può aiutare a rilevare:

• Accessi anomali da località geografiche sospette
• Patterns di utilizzo incoerenti con il ruolo lavorativo
• Attività sospette su piattaforme SaaS aziendali
• Tentativi di accesso non autorizzato a risorse sensibili

Formazione sulla sicurezza e ingegneria sociale

I team HR e di sicurezza devono essere formati per riconoscere i segnali di falsità durante i processi di assunzione:

• Candidati che evitano sistematicamente l’uso della videocamera
• Dettagli incoerenti nella storia professionale
• Urgenza insolita nella configurazione di conti stipendio o benefit
• Riluttanza a fornire documentazione aggiuntiva
• Comunicazioni che sembrano generate artificialmente

Governance dell’intelligenza artificiale interna

Le organizzazioni devono stabilire controlli rigorosi sull’uso interno dell’AI per prevenire:

• Iniezioni di prompt malevoli nei sistemi AI aziendali
• Uso improprio di dati aziendali per training di modelli AI
• Esfiltrazione di informazioni attraverso query AI
• Manipolazione di sistemi automatizzati

L’evoluzione della minaccia e le prospettive future

Microsoft ha già adottato misure concrete sospendendo migliaia di account collegati alle attività di Jasper Sleet, ma la minaccia continua a evolversi. Gli esperti di sicurezza considerano questo tipo di attacco come un rischio interno persistente che richiede un monitoraggio continuo.

Le organizzazioni devono prepararsi a un futuro in cui:

• Le tecniche di falsificazione dell’identità diventeranno sempre più sofisticate
• L’AI generativa renderà più difficile distinguere contenuti autentici da quelli artificiali
• I processi di assunzione remoti richiederanno controlli di sicurezza più stringenti
• La collaborazione tra sicurezza informatica e HR diventerà cruciale

La minaccia rappresentata da Jasper Sleet dimostra come gli attori statali stiano adattando le loro tattiche per sfruttare i cambiamenti nel mondo del lavoro. Solo attraverso un approccio proattivo che combina tecnologia, processi e formazione le organizzazioni potranno proteggersi efficacemente da queste sofisticate campagne di infiltrazione. La sicurezza informatica non è più solo una questione tecnologica, ma richiede una trasformazione completa dei processi aziendali per affrontare le minacce del futuro.