Corée Du Nord

Selon GBHackers Security, des cybercriminels nord-coréens ont établi un record en 2025 en volant au moins 2,02 milliards de dollars en cryptomonnaies, via une campagne sophistiquée attribuée à un acteur soutenu par un État. L’article souligne que cette campagne représente l’année la plus fructueuse à ce jour pour le vol de cryptomonnaies par un acteur étatique nord-coréen, consolidant un cumul qui atteint désormais 6,75 milliards de dollars. 1) Constat clé En 2025, des acteurs cyber affiliés à la Corée du Nord (DPRK) ont volé au moins 2,02 milliards de dollars en cryptomonnaies. Cela représente : +51 % par rapport à 2024, 76 % de toutes les compromissions de services crypto en 2025. Le total cumulé des vols crypto attribués à la DPRK atteint désormais 6,75 milliards de dollars, faisant du pays l’acteur dominant mondial du cybercrime crypto. 2) Moins d’attaques, mais beaucoup plus destructrices Contrairement aux années précédentes : le nombre d’attaques confirmées diminue, mais leur impact financier explose. Les plus grandes attaques en 2025 : sont 1 000 fois supérieures au vol médian, dépassent même les records du bull market de 2021. Cette stratégie reflète un pivot assumé vers le “quality over quantity”. 3) Vecteurs d’attaque privilégiés Les opérations nord-coréennes reposent principalement sur deux axes : ...

Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025. Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité. ...

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque. Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

Selon Logpresso (13 octobre 2025), une campagne attribuée au groupe APT nord-coréen Lazarus a visé en septembre 2025 des systèmes Windows et MacOS via de faux correctifs/updates NVIDIA, avec des objectifs d’espionnage et de gains financiers. La campagne est multiplateforme et s’appuie sur des fichiers malveillants déguisés en mises à jour NVIDIA/patchs de pilotes. Les charges utiles, écrites en Node.js et Python, établissent la persistance, collectent des informations système et d’implantation géographique, extraient des identifiants et des données de carte de paiement, et communiquent avec des serveurs C2. Les cibles incluent des actifs crypto, des institutions financières et des entités gouvernementales. ...

Source: Socket (blog) — L’équipe de recherche a analysé 80 candidats ingénieurs frauduleux, dont des travailleurs IT nord-coréens présumés, révélant une campagne coordonnée ciblant les pipelines de recrutement des entreprises technologiques. L’enquête met en évidence que le recrutement devient une fonction de sécurité à part entière, nécessitant une vérification multi-couches: validation de portefeuilles, analyse comportementale en entretien, et collaboration entre équipes Talent Acquisition et Sécurité, tout en préservant l’expérience candidat. ...

Source: DomainTools (Investigations). Dans une analyse en trois volets, DomainTools détaille une fuite (« Kim dump ») attribuée à un opérateur aligné sur la Corée du Nord, offrant une vue opérationnelle inédite sur les tactiques, outils et infrastructures de Kimsuky (APT43), avec des indices d’un fonctionnement hybride utilisant des ressources chinoises. • Découvertes clés: l’acteur compile manuellement du code malveillant en NASM (chargers, shellcode Windows), exécute de l’OCR sur des PDF techniques coréens liés à la GPKI et aux VPN, et maintient un accès persistant via un rootkit Linux (syscall hooking/khook) caché sous des chemins trompeurs. Les journaux PAM/SSH montrent des rotations de mots de passe et l’usage de comptes administrateurs (oracle, svradmin, app_adm01), tandis qu’une infrastructure de phishing AiTM imite des portails gouvernementaux KR. Des artefacts réseau révèlent en parallèle une reconnaissance ciblée de Taïwan (gouvernement, académique, dev). ...

Selon l’article publié par BleepingComputer, le groupe de hackers nord-coréen parrainé par l’État, Kimsuky, aurait subi une fuite de données après l’intrusion de deux hackers se présentant comme « opposés aux valeurs » de Kimsuky, qui ont dérobé puis diffusé publiquement les données du groupe en ligne. En août 2025, deux individus se présentant sous les pseudonymes « Saber » et « cyb0rg » ont revendiqué avoir mené une intrusion ciblée contre le groupe de cyberespionnage nord-coréen Kimsuky, également connu sous le nom d’APT43. Ce groupe est considéré comme l’un des principaux acteurs étatiques soutenus par Pyongyang, actif depuis plus d’une décennie et spécialisé dans la collecte de renseignements politiques, militaires et économiques. Les deux hackers affirment avoir agi dans une logique « éthique », dénonçant ce qu’ils qualifient de mélange d’objectifs géopolitiques et d’appât du gain financier de la part de Kimsuky, et présentant leur action comme une réponse aux activités malveillantes persistantes du groupe ...