Les hackers nord-coréens continuent de chasser les employés de la tech. Dans une campagne récemment identifiée par l’entreprise de cybersécurité Sekoia.io, les pirates se font passer pour des recruteurs sur des plateformes comme LinkedIn pour piéger leur cible. Les experts cyber de la société ont confirmé à Numerama que la campagne est encore en cours, de nouveaux noms de domaine ont même été créés pour usurper l’identité de sites bien connus du secteur des cryptomonnaies.
Cette méthode, désormais bien répandue, est considérée comme l’un des principaux modes opératoires du régime nord-coréen dans ses cyberattaques. Les hackers créent des profils de recruteurs puis ciblent des développeurs d’entreprises dans le milieu de la blockchain et des cryptos. Si l’employé montre de l’intérêt, les pirates lui envoient un lien vers un faux site, une offre d’emploi falsifiée ou tout autre document piégé contenant un logiciel malveillant.
Cette fois, les hackers ont quelque peu changé leur stratégie puisqu’ils proposent un rendez-vous en visio à leur cible. Une fois que la victime tente d’activer sa caméra, un message d’erreur apparaît, prétendant qu’un pilote doit être installé pour lancer la vidéoconférence, qui mène à l’installation du cheval de Troie GolangGhost.
En tout, Sekoia.io a recensé 184 invitations envoyées par les attaquants. Plus d’une vingtaine de sites ont été montés de toutes pièces pour usurper des entreprises de premier plan, telles Coinbase ou Chainanalisys, afin de maquiller l’arnaque.
Des hackers potentiellement installés en Chine et ailleurs en Asie
GolangGhost est un malware particulièrement puissant, capable de contrôler l’ordinateur de la victime. Une fois installé, il permet aux attaquants de télécharger des fichiers et de récupérer des données système. Les hackers nord-coréens ont aussi lancé une version pour MacOS, élargissant ainsi leur éventail de victimes.
Les hackers nord-coréens mettent régulièrement à jour leurs techniques, s’inspirant principalement des méthodes qui rencontrent du succès dans le domaine du cybercrime.
Amaury G., chercheur sur les menaces chez Sekoia.io, explique que « les hackers ne se limitent pas à opérer depuis la Corée du Nord. Ils peuvent mener leurs activités depuis des pays comme la Chine, la Malaisie ou d’autres nations asiatiques, afin de dissimuler leurs actions et bénéficier d’un meilleur réseau ». Rappelons que certains pirates ont même réussi à obtenir un emploi en « télétravail » auprès d’entreprises américaines.
L’objectif principal de ces campagnes est le vol de fonds, notamment en cryptomonnaies, pour financer le régime nord-coréen. Maxime Arquillière, expert chez Sekoia.io, précise « qu’il ne s’agit pas simplement d’argent envoyé à Pyongyang, mais de sommes directement dérobées pour financer le programme nucléaire de la Corée du Nord. »
Ces mêmes hackers sont responsables de la plus grande cyberattaque de 2024, contre une plateforme d’échange de cryptomonnaies au Japon, ayant permis l’exfiltration de 300 millions d’euros. Il est fort probable qu’ils tentent de réitérer cet exploit cette année.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
