TechCrunch (21 août 2025) rapporte que deux hacktivistes, connus sous les pseudonymes « Saber » et « cyb0rg », ont accédé durant environ quatre mois à l’ordinateur d’un hacker qu’ils estiment travailler pour le gouvernement nord-coréen, avant de rendre publiques leurs découvertes via l’e‑zine Phrack.
Les deux individus disent avoir identifié des preuves reliant ce hacker — qu’ils appellent « Kim » — à des opérations de cyberespionnage menées par la Corée du Nord, ainsi que des exploits, outils de piratage et de l’infrastructure utilisés dans ces opérations. Ils expliquent avoir décidé de « hacker les hackers » puis de divulguer les éléments afin d’aider la communauté sécurité à mieux détecter ces activités.
Saber et cyb0rg affirment avoir observé des intrusions actives opérées par « Kim » contre des entreprises sud-coréennes et taïwanaises, qu’ils disent avoir contactées pour les alerter. Ils reconnaissent le caractère illégal de leur action, tout en considérant la publication comme nécessaire pour exposer ces activités et potentiellement couper des accès en cours.
Côté attribution, Saber avance que « Kim » pourrait être basé en Chine et travailler pour les deux gouvernements, s’appuyant sur le fait observé que « Kim » ne travaillait pas durant des jours fériés chinois et traduisait parfois des documents coréens en chinois simplifié via Google Translate.
Les hacktivistes n’ont pas détaillé la méthode d’accès afin de la réutiliser ailleurs et disent être conscients du risque de représailles, notamment de la part d’acteurs nord-coréens. L’article s’inscrit dans la couverture plus large des opérations nord-coréennes (espionnage, vols de crypto, faux profils d’IT à distance). Il s’agit d’un article de presse spécialisé dont le but principal est d’informer sur une opération de contre‑intrusion et la divulgation d’artefacts.
🔎 TTPs observés/déclarés:
- Compromission et persistance sur le poste d’un opérateur étatique (~4 mois)
- Collecte et exfiltration d’artefacts (outils, exploits, infrastructure)
- Observation d’attaques en cours contre des cibles en Corée du Sud et à Taïwan
- Indices d’attribution opérationnelle (inactivité durant jours fériés chinois, traductions via Google Translate)
- Divulgation publique via Phrack pour faciliter la détection
🔗 Source originale : https://techcrunch.com/2025/08/21/hackers-who-exposed-north-korean-government-hacker-explain-why-they-did-it/