Campagne d'attaque PurpleBravo
Les analystes du renseignement sur les menaces ont identifié 3 136 adresses IP individuelles liées à des cibles potentielles de la campagne « Contagious Interview ». L’opération impliquerait 20 organisations victimes potentielles opérant dans les secteurs de l’intelligence artificielle, des cryptomonnaies, des services financiers, des services informatiques, du marketing et du développement de logiciels. Les entités touchées sont réparties en Europe, en Asie du Sud, au Moyen-Orient et en Amérique centrale, ce qui souligne la portée mondiale de cette activité.
Les adresses IP, principalement concentrées en Asie du Sud et en Amérique du Nord, auraient été ciblées entre août 2024 et septembre 2025. Les entreprises concernées seraient basées en Belgique, en Bulgarie, au Costa Rica, en Inde, en Italie, aux Pays-Bas, au Pakistan, en Roumanie, aux Émirats arabes unis et au Vietnam.
Table des matières
PurpleBravo : un important groupe de menaces nord-coréennes
Cette activité est attribuée à un groupe lié à la Corée du Nord, connu sous le nom de PurpleBravo et documenté pour la première fois fin 2023. Ce groupe est connu dans la communauté de la sécurité sous plusieurs appellations, témoignant d'un suivi intensif de la part du secteur :
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi et WaterPlum
PurpleBravo a démontré un investissement soutenu dans l'infrastructure à long terme, les techniques d'ingénierie sociale et le développement de logiciels malveillants, en accord avec des objectifs mêlant cyberespionnage et vol financier.
Exploiter le processus de recrutement et l’écosystème des développeurs
Des découvertes récentes font suite à la révélation d'une évolution majeure de la campagne Contagious Interview, dans laquelle des adversaires exploitent des projets Microsoft Visual Studio Code malveillants pour diffuser des portes dérobées. Cette tactique détourne des outils et des flux de travail de développement de confiance, augmentant ainsi la probabilité d'une compromission réussie.
Des chercheurs ont identifié des profils LinkedIn frauduleux se faisant passer pour des développeurs et des recruteurs, prétendant opérer depuis Odessa, en Ukraine, ainsi que des dépôts GitHub malveillants conçus pour diffuser des logiciels malveillants tels que BeaverTail. Dans plusieurs cas, des candidats à l'emploi auraient exécuté du code malveillant sur des appareils fournis par leur entreprise, étendant ainsi la compromission au-delà des individus et directement aux environnements d'entreprise.
Infrastructure de l’arsenal de logiciels malveillants et du commandement
PurpleBravo exploite des infrastructures de commande et de contrôle distinctes pour prendre en charge plusieurs familles de logiciels malveillants. Parmi celles-ci figurent BeaverTail, un voleur d'informations et chargeur basé sur JavaScript, et GolangGhost (également connu sous les noms de FlexibleFerret ou WeaselStore), une porte dérobée basée sur Go et dérivée du projet open-source HackBrowserData.
Les serveurs de commande et de contrôle du groupe sont répartis chez 17 fournisseurs d'hébergement et administrés via le VPN Astrill, l'activité de gestion étant localisée sur des plages d'adresses IP en Chine. L'utilisation du VPN Astrill a été documentée à plusieurs reprises lors de précédentes cyberopérations nord-coréennes, ce qui renforce la fiabilité de l'attribution.
Convergence avec la menace du travailleur informatique « salarié »
L'opération Contagious Interview est considérée comme complémentaire à une campagne distincte mais connexe, connue sous le nom de Wagemole (PurpleDelta). Cette opération consiste pour des informaticiens nord-coréens à obtenir un emploi illégal sous de fausses identités, principalement pour générer des revenus et mener des activités d'espionnage. Bien que Wagemole soit active depuis 2017 et soit suivie comme un groupe distinct, les enquêteurs ont mis au jour d'importants recoupements tactiques et infrastructurels.
Parmi les liens observés, on note des opérateurs de PurpleBravo présentant un comportement similaire à celui de travailleurs informatiques nord-coréens, des adresses IP russes liées à une activité connue de travailleurs informatiques communiquant avec l'infrastructure de PurpleBravo, et des nœuds VPN Astrill partagés associés aux deux clusters.
Augmentation des risques liés à la chaîne d’approvisionnement et à l’entreprise
Une tendance particulièrement inquiétante est le recours à de fausses offres d'emploi pour inciter les candidats à passer des tests de programmation sur les systèmes de l'employeur, transformant ainsi une arnaque au recrutement en un vecteur d'intrusion au sein de l'entreprise. Ceci démontre que la chaîne d'approvisionnement des logiciels et des technologies de l'information est extrêmement vulnérable aux infiltrations, même en dehors des programmes d'emploi de travailleurs du secteur informatique pourtant largement médiatisés.
De nombreuses organisations ciblées mettent en avant d'importantes bases de clients, ce qui accroît le risque de compromission de leur chaîne d'approvisionnement. Les experts en sécurité avertissent que, malgré l'attention considérable portée à la menace que représentent les informaticiens nord-coréens, le modèle d'infiltration de la chaîne d'approvisionnement de PurpleBravo mérite une attention tout aussi soutenue. Les organisations sont fortement incitées à renforcer leurs processus de recrutement, les contrôles de leur environnement de développement et la gestion des risques liés aux tiers afin de détecter, de perturber et de prévenir toute exposition de données sensibles aux acteurs malveillants nord-coréens.
