Campagne d'attaque de BabyShark
Des chercheurs en cybersécurité ont découvert des attaques continues et en constante évolution du groupe de pirates informatiques nord-coréen Kimsuky, qui utilise une tactique d'ingénierie sociale sophistiquée appelée ClickFix pour diffuser le malware BabyShark. Ces campagnes ciblent les experts en sécurité nationale et exploitent à la fois la tromperie humaine et la furtivité technique pour obtenir un accès durable aux systèmes des victimes.
Table des matières
Cibler les experts avec des leurres de spear-phishing
Le groupe Kimsuky déploie activement des e-mails de spear-phishing depuis janvier 2025, ciblant initialement des experts en sécurité nationale sud-coréens. Les attaquants se font passer pour des représentants d'une publication économique légitime en langue allemande et appâtent leurs victimes avec de fausses demandes d'interview. Ces e-mails contiennent des liens vers des archives RAR malveillantes qui, une fois ouvertes, déploient un script Visual Basic (VBS). Ce script lance un faux fichier Google Docs pour paraître légitime tout en exécutant discrètement du code pour établir la persistance via des tâches planifiées et voler des informations système.
Personas trompeuses et variantes modifiées de ClickFix
En mars 2025, Kimsuky a intensifié ses efforts en se faisant passer pour un haut responsable de la sécurité nationale américaine. Les nouveaux e-mails d'hameçonnage contenaient un PDF contenant une liste de questions de réunion fictives et incitaient les destinataires à saisir un « code d'authentification » pour accéder à un contenu prétendument sécurisé. Cela représente une évolution de la méthode ClickFix, passant de la correction de fausses erreurs à la saisie de codes, renforçant ainsi l'illusion de légitimité.
En avril 2025, une autre variante est apparue, se faisant cette fois passer pour un diplomate japonais et faisant référence à une réunion proposée avec l'ambassadeur du Japon aux États-Unis. L'attaque a de nouveau utilisé une fausse page Google Docs pour masquer l'exécution d'une commande PowerShell obscurcie, permettant l'exfiltration continue des données et le déploiement de la charge utile via une communication C2 persistante.
Armer les faux portails d’emploi et les fenêtres contextuelles
Dans une version plus élaborée, Kimsuky a commencé à utiliser de faux sites web se faisant passer pour des portails d'emploi dans la recherche militaire. Ces sites affichaient de fausses offres d'emploi qui, lorsqu'on cliquait, déclenchaient des fenêtres contextuelles de type ClickFix invitant les utilisateurs à ouvrir la boîte de dialogue Exécuter de Windows et à exécuter une commande PowerShell.
Cette commande demandait aux utilisateurs d'installer Chrome Remote Desktop, offrant ainsi aux attaquants un accès distant complet via SSH via le domaine C2 kida.plusdocs.kro.kr. Une mauvaise configuration du serveur C2 a révélé des données de victimes exposées, provenant vraisemblablement de systèmes sud-coréens compromis. De plus, une adresse IP chinoise liée à cette infrastructure contenait un journal d'enregistrement de frappe et une archive ZIP Proton Drive diffusant BabyShark via une chaîne complexe à plusieurs étapes.
Innovations récentes : faux CAPTCHA et déploiement d’AutoIt
Dès juin 2025, Kimsuky a commencé à exploiter de fausses pages de vérification CAPTCHA de Naver. Ces fausses pages demandaient aux utilisateurs de coller des commandes PowerShell dans la boîte de dialogue Exécuter, exécutant ainsi un script AutoIt qui collectait des informations sensibles. Cela démontre une fois de plus l'utilisation adaptative par le groupe d'outils basés sur des scripts et de l'ingénierie sociale pour maintenir son implantation dans les environnements des victimes.
Expansion des fronts de phishing : déguisement académique et attaques HWP
Outre ClickFix, Kimsuky a également été associé à des campagnes de phishing déguisées en courrier universitaire. Ces courriels semblent être des demandes de consultation d'un article de recherche et incluent un document HWP protégé par mot de passe. Une fois ouvert, le document malveillant exploite un objet OLE intégré pour exécuter un script PowerShell. Ce script effectue une reconnaissance détaillée du système et déploie AnyDesk, un outil de bureau à distance légitime, afin de maintenir un accès distant permanent.
Points clés à retenir : Aperçu des tactiques et des techniques
Les attaques d'ingénierie sociale de Kimsuky s'appuient sur :
- Usurpation de l'identité de personnalités et d'institutions de confiance (journalistes, diplomates, universitaires)
- Utilisation de fichiers leurres (Google Docs, PDF, documents HWP) pour masquer une activité malveillante
- Manipulation des utilisateurs pour qu'ils exécutent des commandes PowerShell via de fausses erreurs, des invites d'authentification ou des pages CAPTCHA
Les caractéristiques techniques de la campagne comprennent :
- Accès persistant via des tâches planifiées et un logiciel d'accès à distance (AnyDesk, Chrome Remote Desktop)
- Livraison en plusieurs étapes du malware BabyShark
- Utilisation d'outils d'automatisation basés sur des scripts comme AutoIt
- Vulnérabilités d'infrastructure exploitées exposant les données volées des victimes
Conclusion : une menace en constante évolution
La campagne BabyShark illustre l'agilité de Kimsuky à faire évoluer ses techniques d'ingénierie sociale et à exploiter des logiciels légitimes et des infrastructures publiques à des fins malveillantes. La stratégie ClickFix met en évidence la façon dont les acteurs malveillants continuent d'exploiter le comportement humain autant que les vulnérabilités des systèmes. La vigilance, des stratégies de défense multicouches et la formation des utilisateurs restent essentielles pour atténuer les risques posés par ces acteurs malveillants sophistiqués.
