Sapphire Sleet APT
Le groupe de cybercriminalité affilié à la Corée du Nord, connu sous le nom de Sapphire Sleet, aurait récolté plus de 10 millions de dollars en cryptomonnaies grâce à des stratagèmes d'ingénierie sociale menés sur une période de six mois. Les résultats de l'enquête indiquent que divers groupes de cybercriminels liés à la Corée du Nord ont créé des profils LinkedIn frauduleux. Ces profils, conçus pour imiter à la fois les recruteurs et les demandeurs d'emploi, visent à faciliter les activités illicites et à générer un soutien financier pour le régime lourdement sanctionné.
Actif depuis au moins 2020, le groupe Sapphire Sleet partage des liens avec d'autres entités de piratage informatique, telles que APT38 et BlueNoroff. En novembre 2023, des chercheurs ont découvert que le groupe avait mis en place une infrastructure imitant des plateformes d'évaluation des compétences, exploitant ces sites pour exécuter ses tactiques d'ingénierie sociale.
Table des matières
Tactiques trompeuses employées par le Sapphire Sleet
Au cours de l'année écoulée, le groupe a principalement eu recours à une stratégie consistant à se faire passer pour des capital-risqueurs, en feignant de s'intéresser à l'activité d'une cible pour organiser une réunion en ligne. Lorsque les cibles tentent de rejoindre la réunion, elles reçoivent des messages d'erreur leur demandant de contacter l'administrateur de la réunion ou l'équipe d'assistance pour obtenir de l'aide.
Si la victime accepte, les attaquants fournissent un fichier AppleScript (.scpt) ou un fichier Visual Basic Script (.vbs) adapté au système d'exploitation de la victime sous prétexte de résoudre le problème. En coulisses, ces scripts sont conçus pour déployer des logiciels malveillants sur l'appareil macOS ou Windows de la victime, permettant aux attaquants de récolter des informations d'identification et d'accéder aux portefeuilles de cryptomonnaies pour les voler ultérieurement.
Se faire passer pour une entité légitime pour tromper les cibles
Le groupe Sapphire Sleet a été observé en train de se faire passer pour des recruteurs d’institutions financières de premier plan, comme Goldman Sachs, sur LinkedIn. Cette tactique consiste à contacter des cibles potentielles et à les inviter à compléter une évaluation des compétences hébergée sur un site Web contrôlé par les acteurs de la menace.
Les victimes reçoivent un compte de connexion et un mot de passe pour accéder au site frauduleux. Après s'être connectées et avoir téléchargé des fichiers liés à la prétendue évaluation, elles installent par inadvertance des logiciels malveillants sur leurs appareils, ce qui permet aux attaquants d'accéder sans autorisation à leurs systèmes.
En outre, les analystes en cybersécurité ont souligné que le déploiement par la Corée du Nord de milliers de travailleurs informatiques à l’étranger faisait partie d’une stratégie à multiples facettes. Ces travailleurs génèrent des revenus pour le régime par le biais d’emplois légitimes, exploitent leur accès pour voler de la propriété intellectuelle et se livrent au vol de données en échange de rançons.
En raison des restrictions en vigueur en Corée du Nord, comme l’impossibilité d’ouvrir des comptes bancaires ou d’obtenir des numéros de téléphone, ces agents informatiques ont recours à des intermédiaires pour accéder aux plateformes où ils peuvent décrocher des emplois à distance. Ces facilitateurs les aident à effectuer des tâches telles que la création de comptes sur des sites d’emploi indépendants et la création de faux profils et portfolios sur des plateformes telles que GitHub et LinkedIn pour interagir avec les recruteurs et postuler à des offres d’emploi.
Les cybercriminels adoptent les technologies de l’IA dans leurs opérations
Dans certains cas, le groupe a utilisé des outils d’intelligence artificielle (IA), comme Faceswap, pour modifier des photos et des documents obtenus auprès des victimes. Ces images modifiées, souvent placées dans des contextes professionnels, sont ensuite utilisées sur des CV ou des profils – parfois sous plusieurs identités – soumis pour des candidatures à des emplois.
Au-delà de la manipulation d’images pour les candidatures à un emploi, les travailleurs informatiques nord-coréens explorent également d’autres technologies d’IA, notamment les logiciels de modification de la voix, pour améliorer leurs efforts de tromperie.
Les informaticiens nord-coréens semblent disposer d'un système bien organisé pour suivre les paiements qu'ils reçoivent. Leurs efforts combinés auraient généré au moins 370 000 dollars de revenus.
