Egidio
Dossier · 2026

Reti criminali documentate: il caso Lazarus

Alcune frodi non sono artigianali — sono condotte da gruppi strutturati, documentati esplicitamente da agenzie federali e aziende di sicurezza. Ecco un caso particolarmente ben monitorato.

Chi documenta questo gruppo

Il gruppo noto come Lazarus (di cui un sottogruppo è identificato con il nome "TraderTraitor") è oggetto di un monitoraggio congiunto da parte di diverse agenzie statunitensi e aziende di sicurezza, con comunicati pubblici nominativi e datati — non voci di corridoio.

Aprile 2022
Avviso congiunto dell'FBI, della CISA (agenzia statunitense per la cybersicurezza) e del Tesoro degli Stati Uniti, che attribuisce le attività di TraderTraitor al gruppo Lazarus.
2023
Il Dipartimento di Giustizia degli Stati Uniti annuncia il sequestro di oltre 15 milioni di dollari in criptoattività rubate dal gruppo su quattro piattaforme di scambio.
Maggio 2024
Furto di 308 milioni di dollari sulla piattaforma di scambio DMM Bitcoin — attribuito a TraderTraitor dall'FBI e dalla polizia nazionale giapponese (NPA).
Fine 2024
Furto di 1,5 miliardi di dollari sulla piattaforma Bybit — attribuzione pubblica dell'FBI agli attori nordcoreani di TraderTraitor.
2025
Microsoft e Google Threat Intelligence / Mandiant documentano un filone distinto: operatori che si spacciano per falsi sviluppatori o lavoratori autonomi da remoto, infiltrandosi in aziende reali per rubarvi criptoattività o proprietà intellettuale.
1,5 Mld $
Furto attribuito al gruppo sulla piattaforma Bybit, fine 2024.
FBI, attribuzione pubblica, fine 2024. Consultato il 14/07/2026.
308 mln $
Furto sulla piattaforma DMM Bitcoin, maggio 2024.
FBI e polizia nazionale giapponese (NPA), maggio 2024. Consultato il 14/07/2026.

Il metodo: infiltrarsi, non solo violare

Ciò che distingue questo filone del gruppo è che non si limita ad attaccare dall'esterno: gli operatori si fanno assumere come veri dipendenti o collaboratori — falso curriculum, falsa identità, colloqui superati con successo — per ottenere un accesso legittimo ai sistemi dell'azienda. Una volta assunti, possono sottrarre fondi, rubare proprietà intellettuale o installare strumenti malevoli.

Perché questo caso conta, anche senza legame diretto con la vostra casella email

La maggior parte delle truffe che riceve un privato non ha alcun legame diretto con questo gruppo specifico. Ma questo caso illustra su quale scala si è strutturata la frode organizzata: non sono più individui isolati, ma filiere con metodi documentati, che poi si diffondono verso truffe più comuni — falsi recruiter, ingegneria sociale, falsi profili.

🔒 Che la minaccia venga da un gruppo organizzato o da un truffatore isolato, il principio per proteggersi resta lo stesso: riconoscere lo schema, non solo il singolo messaggio. È esattamente ciò che fa Medusa, il motore di Egidio. Vedi come funziona.

Domande frequenti

Chi documenta le attività del gruppo Lazarus?

Enti pubblici e privati esplicitamente identificati: l'FBI, la CISA e il Tesoro statunitense (avviso congiunto), il Dipartimento di Giustizia degli Stati Uniti (sequestri), oltre a Microsoft e Google Threat Intelligence / Mandiant per la parte relativa all'infiltrazione aziendale.

Come si introduce questo gruppo in aziende reali?

Fingendosi sviluppatori o lavoratori autonomi da remoto, con falsi profili e false identità, per ottenere un accesso legittimo ai sistemi dell'azienda datrice di lavoro.

Che legame c'è con le truffe che riceve un privato?

Nessun legame diretto per la maggior parte delle vittime di phishing o telemarketing classico — ma questo caso illustra quanto la frode organizzata sia diventata un'industria strutturata, con tecniche (ingegneria sociale, falsi profili) che poi si diffondono verso truffe più comuni.

Per approfondire