Selon Gen Blogs (gendigital.com), Threat Research Team, le 19 novembre 2025, de nouveaux éléments indiquent un possible chevauchement d’infrastructure entre les APT russes Gamaredon et nord-coréens Lazarus, pointant vers une étape inédite de coopération transnationale dans le cyberespace.
Le 24 juillet 2025, les systèmes de Gen, qui suivent les serveurs C2 de Gamaredon via des canaux Telegram/Telegraph connus, ont bloqué l’IP 144[.]172[.]112[.]106. Quatre jours plus tard (28 juillet), le même serveur hébergeait une version obfusquée d’InvisibleFerret (attribué à Lazarus), livrée via une structure d’URL identique à celle de la campagne ContagiousInterview (leurres de recrutement). Bien que l’IP puisse être un proxy/VPN, la proximité temporelle et le schéma d’hébergement partagé suggèrent une réutilisation d’infrastructure et, avec une confiance modérée, une collaboration opérationnelle. Il reste indéterminé si Lazarus a utilisé un serveur contrôlé par Gamaredon ou un même point client partagé.
Contexte et implications: Gamaredon (aligné Russie/FSB 18e Centre, actif depuis ≥2013) se concentre sur l’espionnage et a étendu ses cibles à des États de l’OTAN depuis la guerre en Ukraine. Lazarus (RGB nord-coréen, actif depuis 2009) a évolué vers des opérations financières massives (crypto) pour financer ses campagnes. Si elle est confirmée, cette convergence représenterait la première coopération cyber Russie–Corée du Nord observée « in the wild », avec des implications possibles:
- Synergie opérationnelle: monétisation (Lazarus) au service d’opérations (Gamaredon)
- Alignement stratégique dans un contexte de pressions économiques et militaires
- Risque d’escalade en brouillant les frontières entre espionnage, sabotage et cybercriminalité organisée
Gen relie aussi ce cas à une tendance plus large d’alliances intra-nationales:
- Lazarus × Kimsuky (Corée du Nord): l’IP 216[.]219[.]87[.]41 apparaît dans des charges utiles liées aux deux, suggérant réutilisation/coordination au sein de l’RGB.
- DoNot × SideWinder (Inde): un payload DoNot exécute ensuite un loader SideWinder, sur une victime au Pakistan; une coopération rappelant un précédent Gamaredon × Turla.
IOCs et TTPs clés publiés par Gen:
- IOCs:
- IP: 144[.]172[.]112[.]106
- URL: http[://]144[.]172[.]112[.]106/payload/99/81
- SHA256 (InvisibleFerret/Lazarus): 128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d
- IP: 216[.]219[.]87[.]41
- SHA256 (Kimsuky-linked payload): cce27340fd6f32d96c65b7b1034c65d5026d7d0b96c80bcf31e40ab4b8834bcd
- SHA256 (DoNot payload): 8bb089d763d5d4b4f96ae59eb9d8f919e6a49611c183f636bfd5c01696447938
- SHA256 (SideWinder loader): f4d10604980f8f556440460adc71883f04e24231d0a9a3a323a86651405bedfb
- TTPs observés/mentionnés:
- Réutilisation/chevauchement d’infrastructure C2 entre groupes
- Distribution de malware via structure d’URL commune (/payload/..), code obfusqué
- Leurre de faux recrutements (campagne ContagiousInterview) 🎣
- Suivi des C2 Gamaredon via canaux Telegram/Telegraph (contexte de détection)
L’article met ce cas en perspective avec de rares précédents de coopérations transnationales (p. ex. Regin, Stuxnet). Il s’agit d’une analyse de menace visant à documenter un possible partenariat Gamaredon–Lazarus et à en exposer les indicateurs et implications.
🧠 TTPs et IOCs détectés
TTPs
[‘Réutilisation/chevauchement d’infrastructure C2 entre groupes’, ‘Distribution de malware via structure d’URL commune (/payload/..), code obfusqué’, ‘Leurre de faux recrutements (campagne ContagiousInterview)’, ‘Suivi des C2 Gamaredon via canaux Telegram/Telegraph’]
IOCs
{‘IP’: [‘144.172.112.106’, ‘216.219.87.41’], ‘URL’: [‘http://144.172.112.106/payload/99/81’], ‘SHA256’: [‘128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d’, ‘cce27340fd6f32d96c65b7b1034c65d5026d7d0b96c80bcf31e40ab4b8834bcd’, ‘8bb089d763d5d4b4f96ae59eb9d8f919e6a49611c183f636bfd5c01696447938’, ‘f4d10604980f8f556440460adc71883f04e24231d0a9a3a323a86651405bedfb’]}
🔗 Source originale : https://www.gendigital.com/blog/insights/research/apt-cyber-alliances-2025