Lazarus : une enquête filme le vaste stratagème d’ouvriers IT nord-coréens

Une enquête infiltrant Famous Chollima révèle comment Lazarus exploite télétravail, identité louée et ingénieurs complices pour pénétrer finance, crypto, santé et secteurs techniques occidentaux.

Derrière l’image classique de la cyberattaque ultra sophistiquée se dessine une réalité plus crue pour les entreprises : un simple entretien d’embauche en visioconférence peut ouvrir la porte à une opération pilotée par un groupe d’espionnage d’État. L’enquête sur la division Famous Chollima, rattachée au groupe Lazarus et aux autorités nord-coréennes, révèle une industrialisation de l’infiltration par de faux travailleurs IT, pensée pour contourner les sanctions et s’insérer durablement dans les systèmes d’information d’entreprises occidentales.

Selon Cyber Security News, les opérateurs de Famous Chollima ne s’appuient pas sur des vulnérabilités inconnues ni sur des chaînes d’exploitation complexes, mais sur l’ingénierie sociale et l’usurpation d’identité. Le cœur de l’opération consiste à se faire recruter comme développeurs à distance dans des secteurs hautement sensibles comme la finance, les cryptomonnaies, le Web3, la santé, mais aussi le génie civil et l’architecture. Une fois en poste, les faux employés peuvent mener des actions d’espionnage industriel tout en générant des « fonds propres » pour un régime sous sanctions internationales, des financements que l’enquête relie au programme de missiles balistiques nord-coréen. Cette stratégie détourne le modèle du télétravail et des équipes distribuées, aujourd’hui largement adopté, pour transformer des postes de développeurs ordinaires en postes avancés d’une opération étatique.

Les chercheurs décrivent deux modes opératoires principaux. Dans le premier, les acteurs malveillants volent identités et curriculum vitae de véritables ingénieurs, puis se présentent eux-mêmes aux entretiens, caméra allumée, sous une fausse identité. Dans le second, ils recrutent des ingénieurs, souvent juniors, à qui ils promettent un complément de revenus : l’ingénieur ne ferait que passer les entretiens, recevoir l’ordinateur de l’entreprise, participer aux réunions quotidiennes et montrer son visage à l’écran, tandis que des « développeurs fantômes » réaliseraient tout le travail à distance. En échange, ces intermédiaires perçoivent environ 35 % d’un salaire mensuel typique, parfois autour de 3 000 dollars, mais deviennent de facto seuls responsables en cas de dégâts financiers, juridiques, réputationnels ou de fuite de propriété intellectuelle.

Une infiltration filmée en temps réel, entre GitHub, Telegram et fermes de portables

L’enquête relatée par ANY.RUN s’est déroulée en deux temps. D’abord, des spécialistes du renseignement sur les menaces ont approché des recruteurs de Famous Chollima sur GitHub, où des comptes orchestrent un spam massif de dépôts publics avec des messages de « chasseurs de jobs » prétendument basés aux États-Unis. Ces textes, truffés de fautes, proposent à des développeurs ayant déjà travaillé avec des entreprises américaines de se faire payer pour passer des entretiens à la place d’un prétendu candidat débordé, en couvrant des technologies variées comme .NET, Java, Python ou la blockchain.

Une relation de confiance a été patiemment construite avec un recruteur, jusqu’à obtenir une proposition d’aide pour monter une « ferme de laptops » destinée à ces faux travailleurs IT. Dans un second temps, les chercheurs ont mis en place un ensemble de machines virtuelles isolées, grâce à des environnements dits « sandbox » : des systèmes confinés où chaque action peut être observée en détail, sans risque d’impact sur le monde réel. Tous les entretiens avec les agents nord-coréens et l’intégralité de leurs activités sur ces postes ont été enregistrés, offrant pour la première fois une vue continue, filmée, de l’intérieur d’une telle opération.

Cette approche a révélé un arsenal d’outils étonnamment standardisé. Les opérateurs utilisent des logiciels d’accès à distance comme AnyDesk ou Google Remote Desktop pour prendre le contrôle des machines, des assistants d’entretien basés sur l’intelligence artificielle pour souffler les réponses techniques aux entretiens, ainsi que des extensions de navigateur gérant des mots de passe à usage unique. Les chercheurs ont provoqué volontairement des plantages et redémarrages contrôlés des machines, de manière à empêcher toute action réellement malveillante, tout en continuant à collecter des données sur les comportements, la communication interne et les tentatives de maintien d’accès des attaquants.

Identité louée, faiblesse opérationnelle et enjeux pour les entreprises

L’un des apprentissages les plus marquants de cette enquête concerne la centralité de l’identité numérique dans le dispositif. D’après la synthèse publiée sur le blog de any.run, les opérateurs exigent de leurs recrues qu’elles leur livrent un ensemble complet de données personnelles : numéro de sécurité sociale, coordonnées bancaires, accès aux appareils. En pratique, ces ingénieurs ne vendent pas seulement leur temps, mais louent leurs identités au sens le plus large, offrant à des agents étrangers une capacité d’action profonde au sein des systèmes d’entreprises légitimes.

L’échelle de la campagne apparaît également à travers les canaux de recrutement. Au-delà de GitHub, les opérateurs utilisent Telegram et de fausses plateformes de recherche d’emploi pour diffuser à grande échelle des messages très génériques. Contrairement à des attaques de type hameçonnage ciblé, ces approches ne cherchent pas une victime précise, mais misent sur le volume : cibler massivement des développeurs et compter sur un faible pourcentage de réponses positives. Le caractère interchangeable des messages, loin d’être un défaut, semble refléter une certaine confiance dans l’impunité ou dans la difficulté à remonter jusqu’aux véritables opérateurs.

Paradoxalement, l’enquête met aussi en lumière de nombreuses faiblesses opérationnelles de Famous Chollima : infrastructures partagées, erreurs répétées, chevauchement des rôles entre différents acteurs. Ces défauts n’enlèvent rien à la dangerosité du modèle, qui repose moins sur la qualité du code malveillant que sur la persévérance, la capacité à manipuler des candidats vulnérables et à exploiter les procédures de recrutement de grandes entreprises. Des agences fédérales américaines ont déjà procédé à des arrestations et cherchent activement à démanteler fermes de portables et grappes de faux travailleurs IT, signe que ce mode opératoire est désormais considéré comme un vecteur de menace critique.

Pour les organisations, cette affaire rappelle que la cybersécurité ne se joue pas uniquement dans les pare-feu, mais aussi dans les ressources humaines et la vérification des identités. Des processus reposant sur le télétravail massif, l’externalisation de développement ou des entretiens entièrement à distance offrent un terrain idéal à ce type de fraude, surtout lorsque la pression au recrutement rapide fait passer au second plan les contrôles de fond. La montée en puissance d’outils d’assistance à l’entretien fondés sur l’intelligence artificielle complexifie encore la détection, car un candidat peut désormais se voir souffler en temps réel des réponses très crédibles.

Cette enquête confirme une bascule déjà observée dans de nombreuses campagnes : la force des groupes comme Lazarus ne réside pas dans un arsenal de vulnérabilités inédites, mais dans une maîtrise de l’ingénierie sociale.