Comment des hackers nord-coréens utilisent LinkedIn pour voler des millions de dollars

---

Date d’écriture : 26/11/2024

Article complet : https://www.usine-digitale.fr/article/comment-des-hackers-nord-coreens-utilisent-linkedin-pour-voler-des-millions-de-dollars.N2223271

Article de Yoann Bourgin

---

Des chercheurs en cybersécurité de Microsoft ont mis en lumière les pratiques malveillantes de groupes de hackers nord-coréens, notamment le groupe nommé « Sapphire Sleet », qui utilisent des techniques d’ingénierie sociale sophistiquées pour voler des millions de dollars. Ces opérations visent à contourner les sanctions internationales et à financer les programmes militaires et informatiques du régime de Pyongyang.

Les tactiques des hackers nord-coréens

Les cybercriminels créent de faux profils LinkedIn pour se faire passer pour des recruteurs ou des investisseurs, piégeant ainsi des entreprises à travers le monde. Parmi leurs méthodes :

1. Se faire passer pour un capital-risqueur :
   • Les hackers prétendent être intéressés par un investissement dans l’entreprise cible.
   • Lors d’une réunion en ligne, ils exploitent un faux message d’erreur pour pousser la victime à exécuter un script malveillant qui installe un malware.
   • Ce malware permet aux attaquants de voler des cryptomonnaies ou des identifiants bancaires.
2. Se faire passer pour des recruteurs :
   • Ils contactent des cibles via LinkedIn et leur demandent de remplir des formulaires sur des sites contrôlés par les pirates.
   • En téléchargeant ces formulaires, les victimes installent à leur insu un malware qui compromet leurs systèmes.

En six mois, le groupe aurait ainsi mené plusieurs campagnes d’attaques, dérobant plus de 10 millions de dollars en cryptomonnaies.

Un réseau international pour contourner les sanctions

Outre les attaques en ligne, Microsoft a révélé que la Corée du Nord envoie des travailleurs informatiques à l’étranger pour générer des revenus pour le régime. Ces travailleurs infiltrent des entreprises en Russie, en Chine et dans d’autres pays, souvent en utilisant des facilitateurs étrangers. Ces derniers leur fournissent :

• Des comptes bancaires et des cartes SIM.
• Des accès à des plateformes inaccessibles depuis la Corée du Nord.

Ces travailleurs se servent de CV falsifiés, créés avec des outils d’intelligence artificielle (IA), comme Faceswap, pour modifier des photos et usurper l’identité d’autres personnes. Les CV et profils sont publiés sur des plateformes professionnelles comme LinkedIn et GitHub.

Données découvertes par Microsoft

Microsoft a récemment découvert un référentiel public contenant des preuves des activités des hackers, notamment :

• Des CV falsifiés enrichis par IA.
• Des comptes de messagerie, VPN, et adresses IP spécifiques.
• Des profils sur des outils professionnels tels que LinkedIn, Skype et Telegram.

Un seul groupe de ces faux informaticiens aurait perçu 370 000 dollars en paiements pour des emplois en ligne.

Recommandations de Microsoft

Pour limiter ces infiltrations, Microsoft préconise :

• Une meilleure sensibilisation des responsables RH face à ces menaces.
• Des vérifications renforcées, comme demander aux candidats d’activer leur caméra ou d’expliquer le code qu’ils prétendent avoir écrit.
• Des mesures de sécurité accrues pour détecter les CV et documents falsifiés.

Conclusion

Les hackers nord-coréens, avec des opérations combinant ingénierie sociale, exploitation de failles zero day et vols d’identité, auraient déjà volé des centaines de millions de dollars. Ces activités, qui financent directement le régime de Pyongyang, illustrent l’évolution des cybermenaces sophistiquées.