Piratage : la Corée du Nord revient par la porte de derrière

On prend les mêmes et on recommence. Plus de deux ans après avoir dénoncé une campagne malveillante de la Corée du Nord ciblant les chercheurs en sécurité, le Threat Analysis Group (TAG), l’équipe de sécurité de Google spécialisée dans la chasse aux groupes de menaces persistantes avancées vient de lancer une nouvelle alerte.

La nouvelle campagne est “probablement menée par les mêmes acteurs”, avec des “similitudes” avec la précédente action malveillante. Selon les spécialistes de Google, au moins une vulnérabilité zero-day, ces failles non connues activement recherchées par les attaquants, a été utilisée pour cibler des chercheurs en sécurité ces dernières semaines. Comme le signale Bleeping computer, il est probable que l’objectif final des pirates nord-coréen était de faire main basse sur des failles de sécurité pas encore divulguées.

Faux profils

Les chercheurs en sécurité visés auraient ainsi d’abord été approchés sur le réseau social X (ex-Twitter). Une capture d’écran partagée par Google dévoile l’un des pseudos des attaquants: @Paul091_, dont la photo de profil représente un profil de chat sur une branche, devant des nuages menaçants, prétend ici être un chercheur en sécurité et un développeur de GetSymbol.

Les échanges se déplaçaient ensuite vers des applications de messagerie, comme Signal, WhatsApp et Wire. Une fois le chercheur en sécurité mis en confiance, les attaquants envoyaient un fichier malveillant exploitant la vulnérabilité mentionnée d’un progiciel non précisé. Cette faille serait en cours de correction après avoir été signalée à l’éditeur du logiciel.

Porte dérobée sur un outil open source 

GetSymbol, le logiciel mentionné par “Paul091_”, a également attiré l’attention des experts de Google. Cet outil open source destiné à la rétro-ingénierie, dont le code source a été publié en septembre 2022, serait en fait une sorte de dangereux cheval de Troie.

Ce potentiel vecteur secondaire d’infection permettrait en effet d'exécuter du code à distance à partir d’un domaine contrôlé par un attaquant. Les experts de Google recommandent aux chercheurs ayant installé cet outil de prendre leurs précautions, par exemple en réinstallant leur système d’exploitation.