La Corée du Nord signalée pour une campagne sophistiquée de malware cryptographique ciblant le secteur fintech

Les chercheurs en sécurité de la division Mandiant de Google Cloud ont découvert une opération cybernétique coordonnée liée à la Corée du Nord, ciblant de manière agressive les entreprises de cryptomonnaie et de fintech. Le groupe de menaces, désigné UNC1069, représente une escalade importante de l’activité détectée pour la première fois en 2018, utilisant désormais un arsenal d’outils malveillants combinés à des techniques avancées d’ingénierie sociale pour pénétrer des cibles de grande valeur dans le domaine des actifs numériques.

Le groupe de menaces UNC1069 - Une opération persistante liée à la Corée du Nord

L’enquête de Mandiant a révélé une campagne d’intrusion soigneusement orchestrée, introduisant une suite complète de nouveaux outils d’attaque identifiés. L’opération montre une évolution des capacités cybernétiques de la Corée du Nord, avec les chercheurs confirmant le déploiement de sept familles de logiciels malveillants distinctes, spécialement conçues pour cette campagne. Selon l’évaluation détaillée de la menace par Mandiant, cette activité marque une expansion significative par rapport aux opérations précédentes du groupe, indiquant un investissement soutenu dans le développement d’une infrastructure d’attaque sophistiquée ciblant le secteur fintech.

Sept familles de malwares conçues pour l’exfiltration de données

La nouvelle boîte à outils de logiciels malveillants comprend SILENCELIFT, DEEPBREATH et CHROMEPUSH — trois variantes particulièrement dangereuses conçues pour contourner les défenses de sécurité modernes. CHROMEPUSH et DEEPBREATH ont été spécifiquement conçus pour contourner les protections critiques du système d’exploitation et récolter des informations personnelles sensibles sur les systèmes compromis. Ces outils représentent une avancée notable dans les capacités techniques de la Corée du Nord, permettant aux attaquants d’extraire des données de l’hôte et des identifiants des victimes tout en évitant les mécanismes traditionnels de détection des points d’extrémité.

Tactiques d’ingénierie sociale alimentées par l’IA et ClickFix

Au-delà du déploiement brut de logiciels malveillants, l’opération liée à la Corée du Nord exploite des tactiques sophistiquées d’ingénierie sociale mêlant technologie IA et méthodes de phishing traditionnelles. La campagne utilise des comptes Telegram compromis pour établir une fausse confiance avec les cibles, puis passe à la mise en scène de réunions Zoom frauduleuses avec des vidéos deepfake générées par IA de personnes légitimes. Les victimes sont ensuite manipulées pour exécuter des commandes cachées via des attaques ClickFix — une technique qui trompe les utilisateurs en leur faisant exécuter du code malveillant déguisé en réparations légitimes du système ou en prompts de sécurité. Cette approche à plusieurs couches, combinant intelligence artificielle, vol d’identifiants et psychologie, montre comment les acteurs de la menace évoluent au-delà des campagnes traditionnelles uniquement basées sur des malwares.