DCOD Cybersécurité DCOD Cybersécurité
💡 Ne manquez plus l’essentiel
Les derniers articles
  • Silhouette floue d'une personne levant le bras de manière menaçante derrière une porte vitrée à petits carreaux, évoquant une scène de tension ou de danger.
    Violence‑as‑a‑service : comprendre la chaîne du crime organisé
  • Personne portant une capuche, tapant sur un ordinateur portable dans un décor sombre, illustrant le piratage informatique ou une cyberattaque, avec des lignes de code visibles à l’écran.
    BlackDB : le cerveau kosovar du marché criminel en ligne plaide coupable
  • DCOD top5 - Image réaliste d'une personne encapuchonnée, assise devant un ordinateur portable dans un environnement sombre, illustrant les menaces liées au cybercrime, aux attaques informatiques et à la cybersécurité.
    Le top 5 des actus cybersécurité -17 sep 2025
  • Train à grande vitesse rouge et gris de la compagnie LNER (London North Eastern Railway) circulant sur une voie ferrée électrifiée par une journée ensoleillée, au milieu d’un paysage rural britannique.
    Fuite de données : les passagers des trains au départ de Londres visés
  • Illustration conceptuelle de l'intelligence artificielle. Un cerveau stylisé, composé de lumière et de connexions numériques, brille d'une lueur dorée au centre de l'image. Il est entouré de flux de données bleus et d'ondes graphiques jaunes qui symbolisent l'activité neuronale et le traitement de l'information sur un fond technologique sombre
    Cyber IA : actualités du 17 sep 2025
Toutes les catégories
  • Actualités
  • Cyber-attaques / fraudes
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Intelligence artificielle
  • Analyses / rapports
  • Biens communs
  • Analyses / Rapports
  • Législation
DCOD Cybersécurité DCOD Cybersécurité
La cybersécurité en clair

Actus et tendances décodées chaque jour par Marc Barbezat, pour les professionnels et passionnés du numérique.

DCOD Cybersécurité DCOD Cybersécurité DCOD Cybersécurité DCOD Cybersécurité DCOD Cybersécurité
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA
  • Cybercrime
  • À la une

Les menaces persistantes de la Corée du Nord et de la Chine

  • 19 décembre 2024
  • 4 minutes de lecture

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
Les tactiques de cyberattaques employées par des acteurs étatiques nord-coréens et chinois mettent en évidence l’utilisation de l’IA et de méthodes sophistiquées pour voler des données sensibles et des cryptoactifs.

Le récent événement CYBERWARCON a mis en lumière les activités cybercriminelles et d’espionnage menées par des acteurs malveillants étatiques, notamment en provenance de la Corée du Nord et de la Chine.

Les présentations de Microsoft Threat Intelligence ont révélé des stratégies avancées de vol de données et de cryptoactifs, ainsi que des méthodes complexes de cyberespionnage. Voici un résumé des thèmes principaux abordés.

Une multiplicité de groupes malveillants actifs

Les acteurs menaçants nord-coréens ont développé des capacités de cyberexploitation réseau au cours de la dernière décennie. Ces activités visent principalement à :

  • Dérober des cryptoactifs pour financer les programmes d’armement.
  • Collecter des informations sur les systèmes d’armes et les politiques internationales.
  • Générer des revenus via des emplois en IT, détournés pour soutenir le régime.

Comme le relève Microsoft, plusieurs groupes cyberémanants étatiques ont été identifiés comme des menaces majeures dans le paysage de la cybersécurité mondiale. Ces groupes, notamment Sapphire Sleet, Ruby Sleet, et Storm-2077, illustrent la diversité et la sophistication des approches employées pour atteindre leurs objectifs malveillants.

Le groupe Sapphire Sleet

Actif depuis 2020, Sapphire Sleet utilise des stratégies variées telles que l’usurpation d’identités sur LinkedIn ou la distribution de scripts malveillants pour compromettre les systèmes des victimes. En six mois, ils ont dérobé plus de 10 millions de dollars en cryptoactifs.

Récemment, ils ont souvent adopté l’identité d’investisseurs en capital-risque pour simuler un intérêt commercial. En organisant des réunions en ligne, les victimes sont confrontées à des problèmes techniques factices, menant à l’installation de malwares via des scripts malveillants. Ces outils permettent ensuite de dérober des portefeuilles de cryptomonnaie et des identifiants sensibles.

Par ailleurs, Sapphire Sleet utilise aussi des plateformes comme LinkedIn pour se faire passer pour des recruteurs. Les victimes sont invitées à réaliser des tests de compétences sur des sites sous contrôle des attaquants, téléchargeant ainsi des malwares qui compromettent leurs systèmes et facilitent le v

La sophistication des attaques de Ruby Sleet

Depuis 2020, le groupe Ruby Sleet a notablement augmenté la sophistication de ses opérations de phishing. Ces acteurs ont été observés signant leurs malwares avec des certificats légitimes mais compromis, obtenus des victimes précédemment ciblées. En outre, ils ont distribué des logiciels compromis, notamment des clients VPN et des installateurs infectés, dissimulés comme étant des outils fiables.

Le groupe personnalise ses attaques en fonction des environnements techniques de ses cibles. Par exemple, en décembre 2023, Ruby Sleet a mené une attaque par la chaîne d’approvisionnement, compromettant une entreprise de construction sud-coréenne et remplaçant une version légitime du logiciel VeraPort par une version malveillante connectée à leur infrastructure. Cette approche leur permet de s’infiltrer dans des environnements précis et d’étendre leur influence malveillante.

Les travailleurs IT Nord-Coréens : une menace triple

Des milliers de travailleurs IT nord-coréens opèrent à l’étranger sous des identités usurpées. Ils rapportent des millions de dollars au régime nord-coréen via des travaux IT présentés comme légitimes. Parfois, ils exploitent leurs accès pour voler des données sensibles, allant des propriétés intellectuelles aux secrets industriels, voire pour extorquer des entreprises.

image 50
Source Microsoft : un exemple de profil LinkedIn d’un informaticien nord-coréen qui a depuis été supprimé.

L’implication de facilitateurs rend leur traçabilité complexe. Ces intermédiaires créent des comptes sur des plateformes professionnelles, louent des comptes bancaires ou achètent des cartes SIM. Les travailleurs IT utilisent aussi des outils d’IA comme Faceswap pour générer de faux portfolios et identités visuelles convaincantes sur LinkedIn ou GitHub.

Microsoft a récemment mis au jour un répertoire public contenant des preuves de ces activités : CV falsifiés, comptes VPS compromis et guides d’usurpation d’identité. Ces éléments démontrent l’ampleur de leur stratégie pour infiltrer des entreprises tout en masquant leur origine.

Les activités de Storm-2077 multi-sectorielles

Storm-2077, un acteur chinois actif depuis 2024, cible une large gamme de secteurs, notamment les gouvernements, l’aéronautique, et les services financiers. Leurs techniques incluent le vol de données via des e-mails compromis et l’exploitation de dispositifs cloud. Ils ont également créé des applications personnalisées pour extraire des e-mails sensibles, facilitant le vol de secrets commerciaux et de propriétés intellectuelles.

Ces activités s’inscrivent dans un contexte où l’attribution des opérations chinoises est de plus en plus complexe, en raison de l’adaptation constante des attaquants et de la superposition des techniques entre divers groupes. Par exemple, Storm-2077 utilise des e-mails de phishing pour voler des identifiants, exploitant parfois des dispositifs en périmètre pour accéder à des environnements cloud. Une fois à l’intérieur, ils exfiltrent des e-mails en créant leurs propres applications dotées de droits d’accès, leur permettant de collecter des informations sensibles comme des secrets commerciaux ou des propriétés intellectuelles.

L’utilisation de l’IA pour amplifier les opérations malveillantes

Comme mentionné dans l’article de Mircrosoft, l’IA joue un rôle central dans ces opérations malveillantes modernes, en offrant des outils pour créer des identités artificielles et réaliser des manipulations avancées.

Elle permet, par exemple, de générer des images convaincantes et des voix synthétiques, augmentant la crédibilité des acteurs malveillants lors d’interactions en ligne. Cette technologie permet aussi de renforcer les stratégies d’ingénierie sociale, comme les usurpations d’identité sur des plateformes professionnelles ou les escroqueries ciblées.

Les applications futures pourraient bien sûr aussi inclure des tactiques encore plus sophistiquées, telles que l’utilisation combinée de vidéos et de voix artificielles pour créer des interactions réalistes en temps réel.

Pour en savoir plus

Microsoft partage les dernières informations sur les acteurs de menace nord-coréens et chinois lors de la CYBERWARCON.

Cette année à CYBERWARCON, les analystes de la Threat Intelligence de Microsoft partagent des recherches et des informations représentant des années de suivi des acteurs de menaces, de surveillance et de perturbation de l’infrastructure, ainsi que des outils des attaquants.

Lire la suite sur Microsoft Security Blog
Microsoft partage les dernières informations sur les acteurs de menace nord-coréens et chinois lors de la CYBERWARCON.

(Re)découvrez également:

Comment la Corée du Nord infiltre les PMEs occidentales avec des faux professionnels IT

Des travailleurs nord-coréens infiltrent des entreprises occidentales sous de fausses identités, commettant ensuite des extorsions pour financer les programmes nationaux, notamment nucléaires.

Lire la suite sur dcod.ch
Comment la Corée du Nord infiltre les PMEs occidentales avec des faux professionnels IT

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes
  • menace persistante avancée
  • Microsoft
Marc Barbezat

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

📚💡️idée de lecture : Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels — 📘 Voir sur Amazon (affilié)

Abonnez-vous au canal Telegram

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
Ne manquez plus l’essentiel
Abonnez-vous au canal Whatsapp
Le podcast cybersécurité DCOD
Les derniers articles
  • Silhouette floue d'une personne levant le bras de manière menaçante derrière une porte vitrée à petits carreaux, évoquant une scène de tension ou de danger.
    Violence‑as‑a‑service : comprendre la chaîne du crime organisé
    • 20.09.25
  • Personne portant une capuche, tapant sur un ordinateur portable dans un décor sombre, illustrant le piratage informatique ou une cyberattaque, avec des lignes de code visibles à l’écran.
    BlackDB : le cerveau kosovar du marché criminel en ligne plaide coupable
    • 17.09.25
  • DCOD top5 - Image réaliste d'une personne encapuchonnée, assise devant un ordinateur portable dans un environnement sombre, illustrant les menaces liées au cybercrime, aux attaques informatiques et à la cybersécurité.
    Le top 5 des actus cybersécurité -17 sep 2025
    • 17.09.25
  • Train à grande vitesse rouge et gris de la compagnie LNER (London North Eastern Railway) circulant sur une voie ferrée électrifiée par une journée ensoleillée, au milieu d’un paysage rural britannique.
    Fuite de données : les passagers des trains au départ de Londres visés
    • 17.09.25
  • Illustration conceptuelle de l'intelligence artificielle. Un cerveau stylisé, composé de lumière et de connexions numériques, brille d'une lueur dorée au centre de l'image. Il est entouré de flux de données bleus et d'ondes graphiques jaunes qui symbolisent l'activité neuronale et le traitement de l'information sur un fond technologique sombre
    Cyber IA : actualités du 17 sep 2025
    • 17.09.25
Abonnez-vous au canal Telegram
💡 Ne manquez plus l'essentiel. Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
DCOD Cybersécurité DCOD Cybersécurité
  • Marc Barbezat
  • A propos / Contact
  • Politique de Confidentialité
La cybersécurité en clair. Actus et tendances décodées par Marc Barbezat

Input your search keywords and press Enter.