Les agences de renseignement américaines et sud-coréennes ont lancé une nouvelle alerte sur l’utilisation par les cyber-acteurs nord-coréens de tactiques d’ingénierie sociale pour frapper les groupes de réflexion, les universités et les secteurs des médias.
Les « efforts soutenus de collecte d’informations » ont été attribués à un cluster parrainé par l’État appelé Kimsukyégalement connu sous les noms APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima.
« La Corée du Nord s’appuie fortement sur les renseignements obtenus grâce à ces campagnes de harponnage », ont déclaré les agences. « Les compromis réussis des individus ciblés permettent aux acteurs de Kimsuky de créer des e-mails de harponnage plus crédibles et efficaces qui peuvent être exploités contre des cibles sensibles et de grande valeur. »
Agissant en tandem, le ministère sud-coréen des Affaires étrangères (MOFA) a imposé des sanctions au groupe de piratage nord-coréen et identifié deux adresses de crypto-monnaie utilisées par l’entité qui ont reçu un flux constant de petits fonds virtuels. Le gouvernement l’a également accusé d’être impliqué dans le lancement raté du satellite espion cette semaine.
Kimsuky fait référence à un élément auxiliaire au sein du Bureau général de reconnaissance (RGB) de la Corée du Nord et est connu pour collecter des renseignements tactiques sur les événements géopolitiques et les négociations affectant les intérêts du régime. Il est connu pour être actif depuis au moins 2012.
« Ces cyber-acteurs usurpent stratégiquement l’identité de sources légitimes pour collecter des renseignements sur les événements géopolitiques, les stratégies de politique étrangère et les développements en matière de sécurité intéressant la RPDC dans la péninsule coréenne », a déclaré Rob Joyce, directeur de la cybersécurité à la NSA.
Cela inclut des journalistes, des universitaires, des chercheurs de groupes de réflexion et des responsables gouvernementaux, la ruse étant principalement conçue pour cibler les personnes travaillant sur des questions nord-coréennes telles que la politique étrangère et la politique.
L’objectif des cyberprogrammes de Kimsuky, ont déclaré les responsables, est d’obtenir un accès illicite ainsi que de fournir des données volées et des informations géopolitiques précieuses au gouvernement nord-coréen.
Kimsuky a été observé en train d’exploiter des informations open source pour identifier des cibles potentielles d’intérêt et ensuite créer leurs personnages en ligne pour qu’ils paraissent plus légitimes en créant des adresses e-mail qui ressemblent à des adresses e-mail de personnes réelles qu’ils cherchent à se faire passer pour.
L’adoption d’identités usurpées est une tactique adoptée par d’autres groupes parrainés par l’État et est considérée comme un stratagème pour gagner la confiance et établir des relations avec les victimes. L’adversaire est également connu pour compromettre les comptes de messagerie des individus usurpés afin de concocter des messages électroniques convaincants.
« RPDC [Democratic People’s Republic of Korea] les acteurs utilisent souvent des domaines qui ressemblent à des services Internet et à des sites de médias courants pour tromper une cible », selon l’avis.
« Les acteurs de Kimsuky adaptent leurs thèmes aux intérêts de leur cible et mettront à jour leur contenu pour refléter les événements actuels discutés au sein de la communauté des observateurs de la Corée du Nord. »
En plus d’utiliser plusieurs personas pour communiquer avec une cible, les missives électroniques sont accompagnées de documents malveillants protégés par mot de passe, joints directement ou hébergés sur Google Drive ou Microsoft OneDrive.
Les fichiers de leurre, lorsqu’ils sont ouverts, incitent les destinataires à activer les macros, ce qui entraîne la fourniture d’un accès détourné aux appareils via des logiciels malveillants tels que BabyShark. De plus, l’accès persistant est armé pour transférer automatiquement et furtivement tous les e-mails arrivant dans la boîte de réception d’une victime vers un compte de messagerie contrôlé par un acteur.
Un autre signe révélateur est l’utilisation de « versions fausses mais réalistes de sites Web, de portails ou d’applications mobiles réels » pour recueillir les identifiants de connexion des victimes.
Le développement intervient des semaines après que la société de cybersécurité SentinelOne a détaillé l’utilisation par Kimsuky d’outils personnalisés tels que ReconShark (une version améliorée de BabyShark) et RandomQuery pour la reconnaissance et l’exfiltration d’informations.
Plus tôt en mars, les autorités gouvernementales allemandes et sud-coréennes ont tiré la sonnette d’alarme concernant les cyberattaques montées par Kimsuky qui impliquent l’utilisation d’extensions de navigateur malveillantes pour voler les boîtes de réception Gmail des utilisateurs.
L’alerte fait également suite aux sanctions imposées par le département du Trésor américain contre quatre entités et un individu impliqués dans des cyberactivités malveillantes et des programmes de collecte de fonds visant à soutenir les priorités stratégiques de la Corée du Nord.
