DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 11 actus clés du 8 juillet 2026
  • Illustration de dcod.ch pour l'article "Le premier ransomware autonome piloté par une IA passe à l'action". Le visuel présente un écran divisé en diagonale avec des lignes de code informatique à gauche et un pirate informatique encapuchonné au milieu de données numériques à droite, symbolisant l'attaque de l'agent JadePuffer
    Le premier ransomware autonome piloté par une IA passe à l’action
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 14 incidents majeurs du 7 juillet 2026
  • Photographie d'un employé dans un bureau ouvert, bloqué et tendant la main vers un 'distributeur de jetons IA' rationné. Un panneau lumineux rouge au-dessus de l'appareil confirme que le 'RATIONNEMENT EST EN VIGUEUR' pour les modèles puissants, illustrant la Tokenpocalypse.
    Tokenpocalypse : les entreprises commencent à rationner les jetons IA
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cyber-attaques / fraudes

Corée du Nord : UNC2970 piège les chercheurs en sécurité via de fausses offres LinkedIn

  • Marc Barbezat
  • 22 mars 2023
  • 3 minutes de lecture
Illustration d'un homme en costume pointant un écran d'ordinateur affichant le logo LinkedIn, illustrant la cyberattaque de la Corée du Nord où le groupe UNC2970 piège les chercheurs en sécurité via de fausses offres LinkedIn.
Le groupe nord-coréen UNC2970 cible des professionnels de la cybersécurité avec de fausses offres d’emploi sur LinkedIn, pour leur livrer des logiciels malveillants dissimulés dans des documents Word.

TL;DR : L’essentiel

  • Des pirates présumés travailler pour la Corée du Nord ciblent des professionnels de la sécurité via LinkedIn avec de fausses offres d’emploi attractives.
  • Le groupe UNC2970, identifié par Mandiant, est considéré comme l’un des acteurs nord-coréens les plus compétents et a déployé trois nouvelles familles de logiciels malveillants lors de cette campagne.
  • La charge malveillante est dissimulée dans un document Microsoft Word présenté comme une description de poste, livré après déplacement de la conversation vers WhatsApp.
  • Cette campagne s’inscrit dans la continuité de l’opération « Dream Job », documentée dès 2020, confirmant une stratégie d’ingénierie sociale persistante et en constante évolution.
▾ Sommaire
TL;DR : L’essentielUNC2970 : un groupe nord-coréen qui cible les professionnels de la cybersécuritéLinkedIn comme vecteur d’ingénierie sociale : le mécanisme de l’attaqueUne continuité tactique héritée d’Operation Dream JobFAQ – Questions fréquentes sur UNC2970 et le phishing LinkedInQu’est-ce que le groupe UNC2970 ?Comment fonctionne l’attaque par fausses offres d’emploi sur LinkedIn ?Pourquoi les chercheurs en sécurité sont-ils spécifiquement ciblés ?Cette campagne est-elle récente ou s’inscrit-elle dans une tendance plus longue ?Pour approfondir le sujet

Des pirates présumés travailler pour la Corée du Nord se font passer pour des recruteurs sur LinkedIn et ciblent des professionnels de la sécurité informatique avec de fausses propositions d’emploi dans de grandes entreprises, assorties de salaires attractifs. La campagne, documentée par les équipes de Mandiant, marque un glissement tactique notable : les attaques qui transitaient jusqu’ici principalement par e-mail migrent désormais vers LinkedIn et WhatsApp, des canaux perçus comme plus légitimes et donc moins surveillés.

image 2
Source Mandiant

UNC2970 : un groupe nord-coréen qui cible les professionnels de la cybersécurité

Le groupe identifié sous le nom UNC2970 est décrit par Mandiant comme l’un des acteurs les plus compétents opérant depuis la Corée du Nord. Actif depuis au moins 2022, il a été détecté lors d’une campagne ciblant une entreprise technologique américaine, dans le cadre de laquelle trois nouvelles familles de code malveillant ont été identifiées : TOUCHMOVE, SIDESHOW et TOUCHSHIFT.

La particularité de cette vague récente est son ciblage précis : les chercheurs en sécurité informatique, qui disposent d’accès privilégiés aux systèmes et d’une connaissance approfondie des défenses. S’en prendre à ces profils suggère, selon les analystes de Mandiant, soit un changement de stratégie, soit une expansion délibérée des opérations d’espionnage nord-coréennes.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

LinkedIn comme vecteur d’ingénierie sociale : le mécanisme de l’attaque

Le schéma opératoire d’UNC2970 repose sur la création de profils LinkedIn soigneusement construits, qui imitent de vraies personnes ou de vrais recruteurs. Comme le documente Ars Technica, ces comptes sont suffisamment crédibles pour engager une conversation professionnelle sans éveiller les soupçons. Une fois la confiance établie, les victimes sont invitées à poursuivre l’échange sur WhatsApp.

image 3
Source ClearSky

C’est à ce stade que la charge malveillante est délivrée : un document Microsoft Word personnalisé, présenté comme une description de poste, contient en réalité un logiciel malveillant. Cette technique de dissimulation dans un fichier professionnel courant réduit considérablement les chances que la cible perçoive la menace. Les attaquants exploitent ici un réflexe naturel : ouvrir un document envoyé par un recruteur dans le cadre d’un processus d’embauche ne déclenche pas les mêmes réflexes de méfiance qu’une pièce jointe suspecte reçue par e-mail.

Une continuité tactique héritée d’Operation Dream Job

Cette campagne s’inscrit dans la continuité d’une stratégie documentée dès 2020. L’opération baptisée « Dream Job » par les analystes de ClearSky avait déjà ciblé des dizaines d’entreprises en Israël et à l’international, en usant des mêmes ressorts : fausses offres d’emploi attractives, personnalisation du discours et exploitation de la crédibilité des plateformes professionnelles.

Ce que la campagne UNC2970 révèle, trois ans plus tard, c’est la maturité et la persistance de cette approche. Les outils changent, les plateformes évoluent, mais le vecteur humain reste le maillon exploité en priorité. Comme le souligne Cyberscoop, le groupe a déployé pour cette vague toute une gamme de nouveaux outils et techniques d’ingénierie sociale, confirmant un investissement soutenu dans l’amélioration de ces méthodes.

Pour les organisations dont les équipes de sécurité sont actives sur les réseaux professionnels, cette campagne rappelle que les chercheurs en cybersécurité eux-mêmes constituent des cibles de choix — précisément parce que leur compromission offre un accès stratégique aux défenses qu’ils sont censés protéger.

FAQ – Questions fréquentes sur UNC2970 et le phishing LinkedIn

Qu’est-ce que le groupe UNC2970 ?

UNC2970 est un groupe de cyberespionnage présumé lié à la Corée du Nord, considéré par Mandiant comme l’un des acteurs les plus compétents du pays. Il mène des campagnes d’ingénierie sociale ciblées, notamment contre des professionnels de la cybersécurité.

Comment fonctionne l’attaque par fausses offres d’emploi sur LinkedIn ?

Les attaquants créent des profils LinkedIn convaincants imitant de vrais recruteurs, contactent leurs cibles avec de fausses propositions d’emploi attractives, puis les déplacent vers WhatsApp. À ce stade, un document Microsoft Word personnalisé contenant un logiciel malveillant est envoyé sous couverture d’une description de poste.

Pourquoi les chercheurs en sécurité sont-ils spécifiquement ciblés ?

Les professionnels de la cybersécurité disposent d’accès privilégiés aux systèmes et d’une connaissance approfondie des défenses des organisations. Les compromettre offre aux attaquants un accès stratégique particulièrement précieux.

Cette campagne est-elle récente ou s’inscrit-elle dans une tendance plus longue ?

Elle s’inscrit dans la continuité de l’opération « Dream Job », documentée dès 2020 par ClearSky, qui ciblait déjà des dizaines d’entreprises via de fausses offres d’emploi. UNC2970 représente une évolution de cette stratégie avec de nouveaux outils et de nouvelles plateformes.

Pour approfondir le sujet

À un clic de distance : Au cœur d’une attaque de phishing sur LinkedIn

À un clic de distance : Au cœur d’une attaque de phishing sur LinkedIn

cofense.com

Cet article explique comment une campagne d'hameçonnage usurpe l'identité de LinkedIn pour inciter les utilisateurs à cliquer sur des liens malveillants et à saisir leurs identifiants de connexion sur des sites web frauduleux. Il met en lumière comment les attaquants… Lire la suite

Voler le LIGHTSHOW (Première partie) — UNC2970 de la Corée du Nord | Mandiant

Voler le LIGHTSHOW (Première partie) — UNC2970 de la Corée du Nord | Mandiant

mandiant.com

Depuis juin 2022, Mandiant surveille une campagne ciblant des entreprises occidentales des secteurs des médias et des technologies, menée par un groupe d'espionnage nord-coréen présumé, identifié sous le nom d'UNC2970. En juin 2022, Mandiant Managed Defense a détecté et contré… Lire la suite

Des pirates informatiques nord-coréens ciblent des chercheurs en sécurité avec une nouvelle porte dérobée.

Des pirates informatiques nord-coréens ciblent des chercheurs en sécurité avec une nouvelle porte dérobée.

arstechnica.com

La campagne utilise des comptes LinkedIn soigneusement conçus qui imitent de vraies personnes. Lire la suite

Des pirates informatiques nord-coréens ont utilisé des profils LinkedIn soignés pour cibler des chercheurs en sécurité.

Des pirates informatiques nord-coréens ont utilisé des profils LinkedIn soignés pour cibler des chercheurs en sécurité.

cyberscoop.com

Dans le cadre de ce changement de tactique, les pirates informatiques ont déployé toute une gamme de nouveaux outils et de techniques d'ingénierie sociale pour piéger leurs victimes. Lire la suite

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • Corée du Nord
  • fausses offres d'emploi
  • ingénierie sociale
  • linkedin
  • Mandiant
  • TOUCHMOVE
  • UNC2970
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
Lire l'article

Le spyware Pegasus pirate le téléphone d’un enquêteur européen

Une main tenant un smartphone affichant une application de paris en ligne devant un match de football, illustrant comment l'illusion de fausses vidéos sur Polymarket dupe les internautes.
Lire l'article

Fausses vidéos sur Polymarket : l’illusion dupe les internautes

Silhouette anonyme en sweat à capuche noir devant les drapeaux de l'UE et de l'Ukraine, illustrant l'intégration de Kiev au bouclier d'urgence et à la réserve cyber européenne.
Lire l'article

Réserve cyber de l’UE : l’Ukraine intègre le bouclier d’urgence

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois