Les tactiques de cyberattaques employĂ©es par des acteurs Ă©tatiques nord-corĂ©ens et chinois mettent en Ă©vidence lâutilisation de lâIA et de mĂ©thodes sophistiquĂ©es pour voler des donnĂ©es sensibles et des cryptoactifs.
Le rĂ©cent Ă©vĂ©nement CYBERWARCON a mis en lumiĂšre les activitĂ©s cybercriminelles et dâespionnage menĂ©es par des acteurs malveillants Ă©tatiques, notamment en provenance de la CorĂ©e du Nord et de la Chine.
Les présentations de Microsoft Threat Intelligence ont révélé des stratégies avancées de vol de données et de cryptoactifs, ainsi que des méthodes complexes de cyberespionnage. Voici un résumé des thÚmes principaux abordés.
Une multiplicité de groupes malveillants actifs
Les acteurs menaçants nord-coréens ont développé des capacités de cyberexploitation réseau au cours de la derniÚre décennie. Ces activités visent principalement à :
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
- DĂ©rober des cryptoactifs pour financer les programmes dâarmement.
- Collecter des informations sur les systĂšmes dâarmes et les politiques internationales.
- Générer des revenus via des emplois en IT, détournés pour soutenir le régime.
Comme le relÚve Microsoft, plusieurs groupes cyberémanants étatiques ont été identifiés comme des menaces majeures dans le paysage de la cybersécurité mondiale. Ces groupes, notamment Sapphire Sleet, Ruby Sleet, et Storm-2077, illustrent la diversité et la sophistication des approches employées pour atteindre leurs objectifs malveillants.
Le groupe Sapphire Sleet
Actif depuis 2020, Sapphire Sleet utilise des stratĂ©gies variĂ©es telles que lâusurpation dâidentitĂ©s sur LinkedIn ou la distribution de scripts malveillants pour compromettre les systĂšmes des victimes. En six mois, ils ont dĂ©robĂ© plus de 10 millions de dollars en cryptoactifs.
RĂ©cemment, ils ont souvent adoptĂ© lâidentitĂ© dâinvestisseurs en capital-risque pour simuler un intĂ©rĂȘt commercial. En organisant des rĂ©unions en ligne, les victimes sont confrontĂ©es Ă des problĂšmes techniques factices, menant Ă lâinstallation de malwares via des scripts malveillants. Ces outils permettent ensuite de dĂ©rober des portefeuilles de cryptomonnaie et des identifiants sensibles.
Par ailleurs, Sapphire Sleet utilise aussi des plateformes comme LinkedIn pour se faire passer pour des recruteurs. Les victimes sont invitées à réaliser des tests de compétences sur des sites sous contrÎle des attaquants, téléchargeant ainsi des malwares qui compromettent leurs systÚmes et facilitent le v
La sophistication des attaques de Ruby Sleet
Depuis 2020, le groupe Ruby Sleet a notablement augmenté la sophistication de ses opérations de phishing. Ces acteurs ont été observés signant leurs malwares avec des certificats légitimes mais compromis, obtenus des victimes précédemment ciblées. En outre, ils ont distribué des logiciels compromis, notamment des clients VPN et des installateurs infectés, dissimulés comme étant des outils fiables.
Le groupe personnalise ses attaques en fonction des environnements techniques de ses cibles. Par exemple, en dĂ©cembre 2023, Ruby Sleet a menĂ© une attaque par la chaĂźne d’approvisionnement, compromettant une entreprise de construction sud-corĂ©enne et remplaçant une version lĂ©gitime du logiciel VeraPort par une version malveillante connectĂ©e Ă leur infrastructure. Cette approche leur permet de sâinfiltrer dans des environnements prĂ©cis et dâĂ©tendre leur influence malveillante.
Les travailleurs IT Nord-Coréens : une menace triple
Des milliers de travailleurs IT nord-corĂ©ens opĂšrent Ă lâĂ©tranger sous des identitĂ©s usurpĂ©es. Ils rapportent des millions de dollars au rĂ©gime nord-corĂ©en via des travaux IT prĂ©sentĂ©s comme lĂ©gitimes. Parfois, ils exploitent leurs accĂšs pour voler des donnĂ©es sensibles, allant des propriĂ©tĂ©s intellectuelles aux secrets industriels, voire pour extorquer des entreprises.
Lâimplication de facilitateurs rend leur traçabilitĂ© complexe. Ces intermĂ©diaires crĂ©ent des comptes sur des plateformes professionnelles, louent des comptes bancaires ou achĂštent des cartes SIM. Les travailleurs IT utilisent aussi des outils dâIA comme Faceswap pour gĂ©nĂ©rer de faux portfolios et identitĂ©s visuelles convaincantes sur LinkedIn ou GitHub.
Microsoft a rĂ©cemment mis au jour un rĂ©pertoire public contenant des preuves de ces activitĂ©s : CV falsifiĂ©s, comptes VPS compromis et guides dâusurpation dâidentitĂ©. Ces Ă©lĂ©ments dĂ©montrent lâampleur de leur stratĂ©gie pour infiltrer des entreprises tout en masquant leur origine.
Les activités de Storm-2077 multi-sectorielles
Storm-2077, un acteur chinois actif depuis 2024, cible une large gamme de secteurs, notamment les gouvernements, lâaĂ©ronautique, et les services financiers. Leurs techniques incluent le vol de donnĂ©es via des e-mails compromis et lâexploitation de dispositifs cloud. Ils ont Ă©galement crĂ©Ă© des applications personnalisĂ©es pour extraire des e-mails sensibles, facilitant le vol de secrets commerciaux et de propriĂ©tĂ©s intellectuelles.
Ces activitĂ©s sâinscrivent dans un contexte oĂč lâattribution des opĂ©rations chinoises est de plus en plus complexe, en raison de lâadaptation constante des attaquants et de la superposition des techniques entre divers groupes. Par exemple, Storm-2077 utilise des e-mails de phishing pour voler des identifiants, exploitant parfois des dispositifs en pĂ©rimĂštre pour accĂ©der Ă des environnements cloud. Une fois Ă lâintĂ©rieur, ils exfiltrent des e-mails en crĂ©ant leurs propres applications dotĂ©es de droits dâaccĂšs, leur permettant de collecter des informations sensibles comme des secrets commerciaux ou des propriĂ©tĂ©s intellectuelles.
Lâutilisation de lâIA pour amplifier les opĂ©rations malveillantes
Comme mentionnĂ© dans l’article de Mircrosoft, lâIA joue un rĂŽle central dans ces opĂ©rations malveillantes modernes, en offrant des outils pour crĂ©er des identitĂ©s artificielles et rĂ©aliser des manipulations avancĂ©es.
Elle permet, par exemple, de gĂ©nĂ©rer des images convaincantes et des voix synthĂ©tiques, augmentant la crĂ©dibilitĂ© des acteurs malveillants lors dâinteractions en ligne. Cette technologie permet aussi de renforcer les stratĂ©gies dâingĂ©nierie sociale, comme les usurpations dâidentitĂ© sur des plateformes professionnelles ou les escroqueries ciblĂ©es.
Les applications futures pourraient bien sĂ»r aussi inclure des tactiques encore plus sophistiquĂ©es, telles que lâutilisation combinĂ©e de vidĂ©os et de voix artificielles pour crĂ©er des interactions rĂ©alistes en temps rĂ©el.
Pour en savoir plus
Microsoft partage les derniÚres informations sur les acteurs de menace nord-coréens et chinois lors de la CYBERWARCON.
Cette annĂ©e Ă CYBERWARCON, les analystes de la Threat Intelligence de Microsoft partagent des recherches et des informations reprĂ©sentant des annĂ©es de suivi des acteurs de menaces, de surveillance et de perturbation de l’infrastructure, ainsi que des outils des attaquants.
(Re)découvrez également:
Comment la Corée du Nord infiltre les PMEs occidentales avec des faux professionnels IT
Des travailleurs nord-coréens infiltrent des entreprises occidentales sous de fausses identités, commettant ensuite des extorsions pour financer les programmes nationaux, notamment nucléaires.
ZĂ©ro paywall. ZĂ©ro pub.
DCOD reste en accÚs libre grùce à vos contributions. Chaque café compte.
