Ces derniers mois, le groupe de recherche de Google sur les cyberattaques, le Threat Analysis Group (TAG), a identifié un groupe de hackers nord-coréens s’infiltrant dans les communautés de chercheurs en cybersécurité. Dans un rapport publié le 25 janvier 2021, Google affirme que l’entité est « soutenue par le gouvernement et basée en Corée du Nord ».

Les pirates ont contacté des experts en cybersécurité via différents réseaux – Twitter, LinkedIn, Telegram, Discord, Keybase, mails – en se faisant eux-mêmes passer pour des chercheurs afin de faciliter le contact et l’infiltration. « Après avoir établi les premières communications, les acteurs demandaient au chercheur ciblé s’il voulait collaborer à la recherche sur des vulnérabilités, puis lui fournissait un projet Visual Studio », détaille le chercheur en sécurité chez Google TAG Adam Weidemann. Pour les hackers, l’objectif est d’envoyer un projet Microsoft Visual Studio, d’attirer la victime sur un blog ou sur un lien, tous agrémentés de logiciels espions. En somme, une simple campagne de phishing.

L'image présente les messages envoyés par les hackers nord-coréens

Source : Google

Certains cas ont révélé qu’à la suite de ces visites des portes dérobées ont été installées, connectant l’ordinateur à un serveur de commande et de contrôle piloté par les pirates nord-coréens. Tout cela s’est passé sur les navigateurs Windows 10 et Chrome. Depuis, les failles ont été corrigées et Google appelle les chercheurs en cybersécurité à partager leur expérience s’ils pensent avoir fait l’objet d’une attaque. Par ailleurs, le rapport de Google TAG fournit une liste mêlant les blogs et différents comptes de réseaux sociaux utilisés par les hackers. Experts en cybersécurité ou internautes, l’affaire appelle à la vigilance lors d’un contact sur internet avec une personne inconnue.