Corée Du Nord

Source et contexte — Microsoft Threat Intelligence publie une analyse sur l’« opérationnalisation » de l’IA par les acteurs malveillants à toutes les étapes de la chaîne d’attaque. Le billet distingue l’IA comme accélérateur vs arme, illustre des cas concrets impliquant des groupes nord‑coréens (Jasper Sleet, Coral Sleet, Emerald Sleet, Sapphire Sleet) et met en avant l’usage de techniques de jailbreak pour contourner les garde‑fous des modèles. Usages le long du cycle d’attaque 🔎 ...

Selon kmsec-uk, un suivi continu des dépôts npm a détecté entre le 25 et le 26 février 2026 dix-sept nouveaux paquets malveillants embarquant un chargeur inédit recourant à Pastebin et à une stéganographie textuelle, une évolution attribuée aux tests rapides de FAMOUS CHOLLIMA (DPRK). L’attaque s’appuie sur un script d’installation npm (node ./scripts/test/install.js) qui sert de leurre et exécute un JavaScript malveillant unique placé sous vendor/scrypt-js/version.js. Ce composant contacte trois pastes Pastebin en séquence, dont le premier valide interrompt la boucle. Le contenu des pastes, en apparence bénin mais truffé de fautes subtiles, est décodé via une stéganographie textuelle sur mesure pour produire une liste d’hôtes C2 sur Vercel. ...

Source : Elliptic (20 février 2026). Le billet fait le point douze mois après l’exploit de Bybit, attribué au DPRK et confirmé par le FBI, et décrit l’évolution des vols et du blanchiment crypto associés à la Corée du Nord. Elliptic rappelle que l’attaque contre Bybit (21 février 2025) a abouti au vol d’environ 1,46 Md$ en cryptoactifs – le plus grand vol confirmé à ce jour – et que la majorité des fonds a depuis été blanchie, notamment via des adresses de remboursement, la création de tokens sans valeur et une diversification inédite entre mixers, avec un recours important à des services OTC chinois suspectés (plus de 1 Md$ déjà blanchi à mi‑2025). ...

Selon GBHackers Security, des cybercriminels nord-coréens ont établi un record en 2025 en volant au moins 2,02 milliards de dollars en cryptomonnaies, via une campagne sophistiquée attribuée à un acteur soutenu par un État. L’article souligne que cette campagne représente l’année la plus fructueuse à ce jour pour le vol de cryptomonnaies par un acteur étatique nord-coréen, consolidant un cumul qui atteint désormais 6,75 milliards de dollars. 1) Constat clé En 2025, des acteurs cyber affiliés à la Corée du Nord (DPRK) ont volé au moins 2,02 milliards de dollars en cryptomonnaies. Cela représente : +51 % par rapport à 2024, 76 % de toutes les compromissions de services crypto en 2025. Le total cumulé des vols crypto attribués à la DPRK atteint désormais 6,75 milliards de dollars, faisant du pays l’acteur dominant mondial du cybercrime crypto. 2) Moins d’attaques, mais beaucoup plus destructrices Contrairement aux années précédentes : le nombre d’attaques confirmées diminue, mais leur impact financier explose. Les plus grandes attaques en 2025 : sont 1 000 fois supérieures au vol médian, dépassent même les records du bull market de 2021. Cette stratégie reflète un pivot assumé vers le “quality over quantity”. 3) Vecteurs d’attaque privilégiés Les opérations nord-coréennes reposent principalement sur deux axes : ...

Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025. Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité. ...

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque. Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

Selon Logpresso (13 octobre 2025), une campagne attribuée au groupe APT nord-coréen Lazarus a visé en septembre 2025 des systèmes Windows et MacOS via de faux correctifs/updates NVIDIA, avec des objectifs d’espionnage et de gains financiers. La campagne est multiplateforme et s’appuie sur des fichiers malveillants déguisés en mises à jour NVIDIA/patchs de pilotes. Les charges utiles, écrites en Node.js et Python, établissent la persistance, collectent des informations système et d’implantation géographique, extraient des identifiants et des données de carte de paiement, et communiquent avec des serveurs C2. Les cibles incluent des actifs crypto, des institutions financières et des entités gouvernementales. ...