À l’occasion de la conférence américaine Cyberwarcon, les chercheurs en cybersécurité de Microsoft Threat Intelligence ont révélé des pratiques inquiétantes utilisées par des acteurs malveillants de Corée du Nord. Ces derniers se sont fait passer pour des salariés étrangers afin de piéger des entreprises à travers le monde. Cette stratégie vise non seulement à voler des fonds pour financer des programmes d’armement, mais aussi à recueillir des données sur les sanctions internationales avant leur mise en œuvre.

Des tactiques de manipulation évoluées

Le groupe de menace, connu sous le nom de Sapphire Sleet, a développé des méthodes sophistiquées au fil des années. En créant de faux profils sur LinkedIn, ils ont réussi à tromper de nombreuses organisations. En seulement six mois, ces cybercriminels ont mené plusieurs campagnes d’attaques par ingénierie sociale, dérobant plus de 10 millions de dollars en cryptomonnaies.

Se faire passer pour des investisseurs

Une des tactiques récentes de Sapphire Sleet consiste à se faire passer pour un capital-risqueur intéressé par un investissement dans la société ciblée. L’acteur malveillant tente ensuite d’organiser une réunion en ligne. Lors de la connexion, la victime reçoit un message d’erreur l’invitant à contacter l’administrateur ou le service d’assistance. À ce moment, le cybercriminel, se faisant passer pour un membre de l’assistance, envoie un script qui déploie un malware sur l’appareil de la victime. Cela permet au cybercriminel de récupérer des informations sensibles, notamment des portefeuilles de cryptomonnaies et des identifiants personnels.

Des recruteurs trompeurs

Le groupe malveillant utilise également des applications comme LinkedIn pour se faire passer pour des recruteurs. Ils contactent leurs victimes et leur demandent de remplir un formulaire d’évaluation de compétences via un site qu’ils contrôlent. En téléchargeant ce formulaire, la victime installe involontairement un malware sur son appareil.

Une stratégie de contournement des sanctions

Microsoft souligne que la Corée du Nord ne se contente pas d’exploiter les réseaux informatiques. Elle envoie également des milliers de travailleurs informatiques à l’étranger pour générer des revenus pour le régime. Ces pirates ont ainsi réussi à voler des centaines de millions de dollars, opérant principalement en Russie, en Chine et dans d’autres pays, échappant ainsi aux sanctions internationales imposées par les États-Unis.

Le rôle des facilitateurs étrangers

Ces faux informaticiens s’appuient sur des facilitateurs à l’étranger pour accéder à des plateformes inaccessibles depuis la Corée du Nord. Ces derniers créent et louent des comptes bancaires et achètent des cartes SIM en leur nom. Les faux candidats se construisent des CV attractifs sur des plateformes comme GitHub et LinkedIn, augmentant ainsi leur crédibilité.

Des CV améliorés par l’intelligence artificielle

Récemment, Microsoft a découvert un référentiel public contenant des données de ces faux travailleurs, incluant des CV, des comptes de messagerie, des informations VPN, et des images modifiées par intelligence artificielle. Ces images sont utilisées pour falsifier des documents volés à leurs victimes. L’analyse de ce référentiel révèle que ces informaticiens nord-coréens pratiquent le vol d’identité, utilisant des outils comme Faceswap pour intégrer leur photo à des documents légitimes.

Des gains considérables

Le groupe d’informaticiens identifié par Microsoft aurait généré des revenus de 370 000 dollars grâce à des paiements reçus. Pour éviter ces infiltrations, les chercheurs recommandent d’améliorer la sensibilisation des responsables des ressources humaines et de mettre en place des vérifications rigoureuses des candidats.

Mesures préventives à adopter

Pour se protéger contre ces menaces, les entreprises doivent :

• Former les équipes aux risques de cybersécurité.
• Effectuer des vérifications d’identité approfondies pour les nouvelles recrues.
• Demander aux candidats d’activer périodiquement leur caméra lors des entretiens en ligne.
• Exiger que les informaticiens expliquent le code qu’ils ont écrit.

Ces mesures aideront à renforcer la sécurité des entreprises face aux cybermenaces croissantes.

Article proposé par:

Franck Ribiere

Basé en France entre Aix-en-Provence et Marseille, Franck est un informaticien passionné par l'intelligence artificielle, avec une expertise en développement logiciel web. Toujours à l'affût des dernières avancées, il s'efforce de proposer les infos les + pertinentes.