DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 11 actus clés du 8 juillet 2026
  • Illustration de dcod.ch pour l'article "Le premier ransomware autonome piloté par une IA passe à l'action". Le visuel présente un écran divisé en diagonale avec des lignes de code informatique à gauche et un pirate informatique encapuchonné au milieu de données numériques à droite, symbolisant l'attaque de l'agent JadePuffer
    Le premier ransomware autonome piloté par une IA passe à l’action
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 14 incidents majeurs du 7 juillet 2026
  • Photographie d'un employé dans un bureau ouvert, bloqué et tendant la main vers un 'distributeur de jetons IA' rationné. Un panneau lumineux rouge au-dessus de l'appareil confirme que le 'RATIONNEMENT EST EN VIGUEUR' pour les modèles puissants, illustrant la Tokenpocalypse.
    Tokenpocalypse : les entreprises commencent à rationner les jetons IA
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cybercrime
  • À la une

Les menaces persistantes de la Corée du Nord et de la Chine

  • Marc Barbezat
  • 19 décembre 2024
  • 4 minutes de lecture
image 42
▾ Sommaire
Une multiplicité de groupes malveillants actifsLe groupe Sapphire SleetLa sophistication des attaques de Ruby SleetLes travailleurs IT Nord-Coréens : une menace tripleLes activités de Storm-2077 multi-sectoriellesL’utilisation de l’IA pour amplifier les opérations malveillantesPour en savoir plusMicrosoft partage les dernières informations sur les acteurs de menace nord-coréens et chinois lors de la CYBERWARCON.(Re)découvrez également:Comment la Corée du Nord infiltre les PMEs occidentales avec des faux professionnels IT
Les tactiques de cyberattaques employées par des acteurs étatiques nord-coréens et chinois mettent en évidence l’utilisation de l’IA et de méthodes sophistiquées pour voler des données sensibles et des cryptoactifs.

Le récent événement CYBERWARCON a mis en lumière les activités cybercriminelles et d’espionnage menées par des acteurs malveillants étatiques, notamment en provenance de la Corée du Nord et de la Chine.

Les présentations de Microsoft Threat Intelligence ont révélé des stratégies avancées de vol de données et de cryptoactifs, ainsi que des méthodes complexes de cyberespionnage. Voici un résumé des thèmes principaux abordés.

Une multiplicité de groupes malveillants actifs

Les acteurs menaçants nord-coréens ont développé des capacités de cyberexploitation réseau au cours de la dernière décennie. Ces activités visent principalement à :

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
  • Dérober des cryptoactifs pour financer les programmes d’armement.
  • Collecter des informations sur les systèmes d’armes et les politiques internationales.
  • Générer des revenus via des emplois en IT, détournés pour soutenir le régime.

Comme le relève Microsoft, plusieurs groupes cyberémanants étatiques ont été identifiés comme des menaces majeures dans le paysage de la cybersécurité mondiale. Ces groupes, notamment Sapphire Sleet, Ruby Sleet, et Storm-2077, illustrent la diversité et la sophistication des approches employées pour atteindre leurs objectifs malveillants.

Le groupe Sapphire Sleet

Actif depuis 2020, Sapphire Sleet utilise des stratégies variées telles que l’usurpation d’identités sur LinkedIn ou la distribution de scripts malveillants pour compromettre les systèmes des victimes. En six mois, ils ont dérobé plus de 10 millions de dollars en cryptoactifs.

Récemment, ils ont souvent adopté l’identité d’investisseurs en capital-risque pour simuler un intérêt commercial. En organisant des réunions en ligne, les victimes sont confrontées à des problèmes techniques factices, menant à l’installation de malwares via des scripts malveillants. Ces outils permettent ensuite de dérober des portefeuilles de cryptomonnaie et des identifiants sensibles.

Par ailleurs, Sapphire Sleet utilise aussi des plateformes comme LinkedIn pour se faire passer pour des recruteurs. Les victimes sont invitées à réaliser des tests de compétences sur des sites sous contrôle des attaquants, téléchargeant ainsi des malwares qui compromettent leurs systèmes et facilitent le v

La sophistication des attaques de Ruby Sleet

Depuis 2020, le groupe Ruby Sleet a notablement augmenté la sophistication de ses opérations de phishing. Ces acteurs ont été observés signant leurs malwares avec des certificats légitimes mais compromis, obtenus des victimes précédemment ciblées. En outre, ils ont distribué des logiciels compromis, notamment des clients VPN et des installateurs infectés, dissimulés comme étant des outils fiables.

Le groupe personnalise ses attaques en fonction des environnements techniques de ses cibles. Par exemple, en décembre 2023, Ruby Sleet a mené une attaque par la chaîne d’approvisionnement, compromettant une entreprise de construction sud-coréenne et remplaçant une version légitime du logiciel VeraPort par une version malveillante connectée à leur infrastructure. Cette approche leur permet de s’infiltrer dans des environnements précis et d’étendre leur influence malveillante.

Les travailleurs IT Nord-Coréens : une menace triple

Des milliers de travailleurs IT nord-coréens opèrent à l’étranger sous des identités usurpées. Ils rapportent des millions de dollars au régime nord-coréen via des travaux IT présentés comme légitimes. Parfois, ils exploitent leurs accès pour voler des données sensibles, allant des propriétés intellectuelles aux secrets industriels, voire pour extorquer des entreprises.

image 50
Source Microsoft : un exemple de profil LinkedIn d’un informaticien nord-coréen qui a depuis été supprimé.

L’implication de facilitateurs rend leur traçabilité complexe. Ces intermédiaires créent des comptes sur des plateformes professionnelles, louent des comptes bancaires ou achètent des cartes SIM. Les travailleurs IT utilisent aussi des outils d’IA comme Faceswap pour générer de faux portfolios et identités visuelles convaincantes sur LinkedIn ou GitHub.

Microsoft a récemment mis au jour un répertoire public contenant des preuves de ces activités : CV falsifiés, comptes VPS compromis et guides d’usurpation d’identité. Ces éléments démontrent l’ampleur de leur stratégie pour infiltrer des entreprises tout en masquant leur origine.

Les activités de Storm-2077 multi-sectorielles

Storm-2077, un acteur chinois actif depuis 2024, cible une large gamme de secteurs, notamment les gouvernements, l’aéronautique, et les services financiers. Leurs techniques incluent le vol de données via des e-mails compromis et l’exploitation de dispositifs cloud. Ils ont également créé des applications personnalisées pour extraire des e-mails sensibles, facilitant le vol de secrets commerciaux et de propriétés intellectuelles.

Ces activités s’inscrivent dans un contexte où l’attribution des opérations chinoises est de plus en plus complexe, en raison de l’adaptation constante des attaquants et de la superposition des techniques entre divers groupes. Par exemple, Storm-2077 utilise des e-mails de phishing pour voler des identifiants, exploitant parfois des dispositifs en périmètre pour accéder à des environnements cloud. Une fois à l’intérieur, ils exfiltrent des e-mails en créant leurs propres applications dotées de droits d’accès, leur permettant de collecter des informations sensibles comme des secrets commerciaux ou des propriétés intellectuelles.

L’utilisation de l’IA pour amplifier les opérations malveillantes

Comme mentionné dans l’article de Mircrosoft, l’IA joue un rôle central dans ces opérations malveillantes modernes, en offrant des outils pour créer des identités artificielles et réaliser des manipulations avancées.

Elle permet, par exemple, de générer des images convaincantes et des voix synthétiques, augmentant la crédibilité des acteurs malveillants lors d’interactions en ligne. Cette technologie permet aussi de renforcer les stratégies d’ingénierie sociale, comme les usurpations d’identité sur des plateformes professionnelles ou les escroqueries ciblées.

Les applications futures pourraient bien sûr aussi inclure des tactiques encore plus sophistiquées, telles que l’utilisation combinée de vidéos et de voix artificielles pour créer des interactions réalistes en temps réel.

Pour en savoir plus

Microsoft partage les dernières informations sur les acteurs de menace nord-coréens et chinois lors de la CYBERWARCON.

Cette année à CYBERWARCON, les analystes de la Threat Intelligence de Microsoft partagent des recherches et des informations représentant des années de suivi des acteurs de menaces, de surveillance et de perturbation de l’infrastructure, ainsi que des outils des attaquants.

Lire la suite sur Microsoft Security Blog
Microsoft partage les dernières informations sur les acteurs de menace nord-coréens et chinois lors de la CYBERWARCON.

(Re)découvrez également:

Comment la Corée du Nord infiltre les PMEs occidentales avec des faux professionnels IT

Des travailleurs nord-coréens infiltrent des entreprises occidentales sous de fausses identités, commettant ensuite des extorsions pour financer les programmes nationaux, notamment nucléaires.

Lire la suite sur dcod.ch
Comment la Corée du Nord infiltre les PMEs occidentales avec des faux professionnels IT

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes
  • menace persistante avancée
  • Microsoft
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Photographie d'illustration réaliste de l'intérieur d'un salon luxueux dans une villa américaine, montrant un grand téléviseur mural et un ordinateur portable, tous deux affichant une carte du monde connectée. Des flux de données lumineux relient les appareils et les équipements réseau, symbolisant le réseau de proxys résidentiels NetNut créé à partir de téléviseurs connectés et de boîtiers de streaming compromis. L'arrière-plan montre une piscine extérieure et des palmiers sous la lumière du jour.
Lire l'article

Proxys résidentiels : Google et le FBI coupent le réseau NetNut

Illustration d'un centre de commandement cyber pour l'alliance Five Eyes. Un opérateur est vu de dos face à un mur d'écrans de sécurité. Au centre, une carte mondiale projetée avec cinq yeux numériques contenant les drapeaux des pays membres (USA, UK, CA, AU, NZ). Des visualisations de données de menaces IA et des codes cyber flottent dans l'air.
Lire l'article

Five Eyes : l’alliance alerte sur les menaces cyber de l’IA

Graphisme DCOD scindé en diagonale : à gauche, un bouclier de sécurité vert lumineux sur fond de code binaire ; à droite, un paysage de campagne helvétique sous un filtre rouge arborant la croix blanche suisse. Ce visuel illustre le fait que l'OFCS teste son modèle de cyberrésilience en conditions réelles.
Lire l'article

L’OFCS teste son modèle de cyberrésilience en conditions réelles

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois