« Tout est sous contrôle, sauf les hackeurs nord-coréens » pourrait-on dire pour paraphraser le célèbre Général de Gaulle. Une nouvelle campagne d’ingénierie sociale visant les experts en affaires nord-coréennes a été attribuée au groupe APT nord-coréen Kimsuky, alias APT43, Thallium et Black Banshee.
Les chercheurs de SentinelLabs ont annoncé mardi avoir observé Kimsuky usurper l’identité de journalistes pour soutirer des informations sensibles au profit du régime nord-coréen, en particulier sur les sujets liés à la Corée du Nord.
Les abonnés du site américain NK News, spécialisé dans les actualités et analyses concernant la Corée du Nord, ont été la cible privilégiée de cette campagne. Les pirates se faisaient notamment passer pour Chad O’Carroll, fondateur du média, afin de piéger leurs victimes avec de faux liens Google Docs, conduisant à des sites malveillants destinés à récolter leurs identifiants.
Les chercheurs avertissent que les hackeurs nord-coréens se font passer pour des journalistes pour récolter des informations stratégiques
Ils ont également utilisé des documents Microsoft Office piégés pour déployer le malware ReconShark, capable d’exfiltrer des données sur les dispositifs des victimes. Kimsuky allait jusqu’à envoyer des liens Google Docs et des documents Word légitimes et exempts de malwares pour nouer des liens de confiance avec leurs cibles avant de lancer leurs attaques malveillantes.
Les informations collectées permettraient de « donner aux hackeurs nord-coréens un aperçu précieux de la manière dont la communauté internationale évalue et interprète les développements liés à la Corée du Nord », selon Aleksandar Milenkoski, chercheur principal en menaces chez SentinelLabs.
Le gouvernement sud-coréen a d’ailleurs récemment imposé des sanctions au groupe de piratage nord-coréen et identifié deux adresses de cryptomonnaie utilisées par Kimsuky, qu’il a également accusé d’avoir participé à un lancement raté de satellite espion la semaine dernière.
En bref, « journaliste un jour, espion toujours » ? Décidément, les hackeurs nord-coréens ne manquent pas de « Corée-ativité » pour mener à bien leurs sombres desseins.
Source : Techcrunch