Durant toute l’année, les groupes de hackers de Corée du Nord ont mené de nombreuses attaques ciblées. La dernière en date vise précisément les Mac et montre que les pirates ont fait évoluer leur organisation pour la rendre plus efficace.

au sommaire

    Les pirates de la Corée du Nord ont été très actifs cette année. Les groupes mènent des attaques fréquentes et de plus en plus sophistiquées. Cet été, un groupe identifié comme Kimsuky s'est lancé dans une campagne d'ingénierie sociale ciblant le gouvernement américain, le milieu politique, les universitaires et les journalistes pour obtenir des informations sensibles sur la Corée du Sud. Plus étonnant, puisque la Corée du Nord fournit des munitions à la Russie, deux autres groupes se sont infiltrés de façon synchronisée dans les systèmes du fabricant de missiles russe, NPO Mashinostroyeniya. Aujourd'hui, ces acteurs exploitent des outils qui ciblent précisément les Mac. À l'origine, ils sont issus de deux campagnes d'attaques différentes identifiées sous les appellations RustBucket et KandyKorn par les chercheurs en cybersécurité de SentinelOne.

    Les hackers de Corée du Nord s’organisent

    Dans les dernières manœuvres, il apparaît que les outils de ces deux campagnes sont désormais imbriqués. Baptisée RustBucket, l'opération consiste à contaminer la cible avec un lecteur de PDF appelé « SecurePDF Viewer.app » qui disposait jusqu'à il y a peu d'une certification auprès d'AppleApple, mais qui connaît des variantes. Une fois le document ouvert, le fichier déverrouille un code qui permet de télécharger la charge utile appelée KandyKorn. Celle-ci se destine à s'attaquer directement aux ingénieurs blockchain d'une plateforme d'échange de cryptomonnaies. Une troisième pièce du puzzle, appelée ObjCShellz, permet enfin de prendre le contrôle de l'ordinateurordinateur infecté. Si SentinelOne n'indique pas l'objectif final de ces attaques ni qui elles ont ciblé précisément, ce type de manœuvre montre que les groupes de hackers nord-coréens font évoluer leur organisation en exploitant des infrastructures partagées et des missions collaboratives. Ce « mixage » leur permet de gagner en furtivitéfurtivité, en rapidité, et de mieux s'adapter aux systèmes de défense.