Corée Du Nord

Selon l’article publié par BleepingComputer, le groupe de hackers nord-coréen parrainé par l’État, Kimsuky, aurait subi une fuite de données après l’intrusion de deux hackers se présentant comme « opposés aux valeurs » de Kimsuky, qui ont dérobé puis diffusé publiquement les données du groupe en ligne. En août 2025, deux individus se présentant sous les pseudonymes « Saber » et « cyb0rg » ont revendiqué avoir mené une intrusion ciblée contre le groupe de cyberespionnage nord-coréen Kimsuky, également connu sous le nom d’APT43. Ce groupe est considéré comme l’un des principaux acteurs étatiques soutenus par Pyongyang, actif depuis plus d’une décennie et spécialisé dans la collecte de renseignements politiques, militaires et économiques. Les deux hackers affirment avoir agi dans une logique « éthique », dénonçant ce qu’ils qualifient de mélange d’objectifs géopolitiques et d’appât du gain financier de la part de Kimsuky, et présentant leur action comme une réponse aux activités malveillantes persistantes du groupe ...

Cet article de cybersecurity-blog met en lumière une nouvelle menace cybernétique orchestrée par le groupe parrainé par l’État nord-coréen, Famous Chollima, une sous-division du groupe Lazarus. PyLangGhost RAT, une évolution en Python de GoLangGhostRAT, est déployé via des campagnes de social engineering sophistiquées, notamment des faux entretiens d’embauche et des scénarios ‘ClickFix’. Ce malware cible spécifiquement les secteurs de la technologie, de la finance et des cryptomonnaies. Le RAT est conçu pour voler des données de portefeuille de cryptomonnaie et des identifiants de navigateur, tout en établissant un accès à distance persistant. Bien que les taux de détection soient faibles (0-3 sur VirusTotal), des outils d’analyse comportementale peuvent identifier la menace grâce à ses schémas de communication et ses chaînes d’exécution. ...

Cet article de Wiz.io décrit les activités de TraderTraitor, un groupe de menace parrainé par l’État nord-coréen, opérant sous l’ombrelle du groupe Lazarus. TraderTraitor cible spécifiquement les organisations de cryptomonnaie et de blockchain à travers des attaques sophistiquées, y compris l’ingénierie sociale avancée, les compromissions de la chaîne d’approvisionnement et les attaques basées sur le cloud. Le groupe a été lié à des vols majeurs de cryptomonnaie totalisant des milliards de dollars, tels que le vol de 308 millions de dollars de DMM Bitcoin et le piratage de 1,5 milliard de dollars de Bybit. ...

L’article de BleepingComputer rapporte une attaque sophistiquée menée par des acteurs nord-coréens qui ont infiltré le dépôt en ligne Node Package Manager (npm) avec 67 paquets malveillants. Ces paquets ont été conçus pour distribuer un nouveau chargeur de malware appelé XORIndex. Ce malware cible les systèmes des développeurs, ce qui peut potentiellement compromettre de nombreux projets et applications dépendant de ces paquets. L’intrusion dans le dépôt npm souligne une fois de plus la vulnérabilité des chaînes d’approvisionnement logicielles, un vecteur d’attaque de plus en plus prisé par les cybercriminels pour atteindre un large éventail de victimes indirectement. ...

Bleeping Computer rapporte que des hackers soutenus par l’État nord-coréen ont développé un nouveau malware macOS nommé NimDoor. Ce logiciel malveillant est utilisé dans une campagne visant spécifiquement les organisations Web3 et de cryptomonnaie. Le malware NimDoor est conçu pour s’infiltrer dans les systèmes macOS, permettant aux attaquants d’accéder à des informations sensibles et de potentiellement compromettre des transactions financières. Cette nouvelle menace s’inscrit dans une série d’attaques attribuées à des groupes de hackers nord-coréens, connus pour cibler le secteur financier mondial. ...

L’article, publié par DTEX Systems, met en lumière les opérations cybernétiques de la République Populaire Démocratique de Corée (RPDC), soulignant leur complexité et leur dangerosité accrues. Le rapport décrit comment ces opérations vont au-delà des menaces persistantes avancées (APT) traditionnelles pour devenir un système décentralisé et autofinancé, utilisant des talents cybernétiques pour des missions variées allant du vol de cryptomonnaies à l’espionnage. Le rapport souligne que les opérateurs nord-coréens sont intégrés dans des entreprises mondiales, souvent déguisés en travailleurs IT, pour accéder à des systèmes sensibles. Ces infiltrations sont facilitées par un pipeline de talents discipliné, formé dès le plus jeune âge dans des institutions techniques élitistes de la RPDC, et amplifié par l’intelligence artificielle. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

L’article publié par Huntress le 18 juin 2025, expose une intrusion sophistiquée menée par le groupe APT nord-coréen BlueNoroff, également connu sous plusieurs autres noms tels que Sapphire Sleet et STARDUST CHOLLIMA. Ce groupe est connu pour cibler les cryptomonnaies depuis 2017. L’attaque a débuté par un message envoyé via Telegram à un employé d’une fondation de cryptomonnaie, incluant un lien Calendly redirigeant vers un faux domaine Zoom. Lors d’une réunion Zoom truquée, l’employé a été incité à télécharger une fausse extension Zoom, qui était en réalité un script malveillant. ...

Selon un article de BleepingComputer, le groupe de menace persistante avancée (APT) nord-coréen connu sous le nom de BlueNoroff (également appelé ‘Sapphire Sleet’ ou ‘TA444’) a mis en place une nouvelle stratégie d’attaque utilisant des deepfakes de dirigeants d’entreprises lors de faux appels Zoom pour tromper les employés. BlueNoroff exploite ces deepfakes pour se faire passer pour des cadres de haut niveau, incitant ainsi les employés à installer des malwares personnalisés sur leurs ordinateurs. Cette technique sophistiquée permet au groupe de contourner les mesures de sécurité traditionnelles en exploitant la confiance des employés envers leurs supérieurs hiérarchiques. ...

Selon les chercheurs de Cisco Talos, un groupe de hackers nord-coréens cible actuellement les chercheurs d’emploi dans le secteur de la blockchain et des cryptomonnaies en les infectant avec des malwares. Les attaques se concentrent sur les individus cherchant des opportunités professionnelles dans ce domaine en pleine expansion. Les hackers utilisent des techniques sophistiquées pour piéger leurs victimes, souvent en se faisant passer pour des recruteurs ou des entreprises légitimes. ...