Selon CrowdStrike Intelligence, LABYRINTH CHOLLIMA s’est scindé en trois unités distinctes — GOLDEN CHOLLIMA, PRESSURE CHOLLIMA et LABYRINTH CHOLLIMA — aux malwares, objectifs et modes opératoires spécialisés, tout en partageant une base tactique et une infrastructure commune.
-
🎯 GOLDEN CHOLLIMA: cible des régions économiquement développées à forte activité cryptomonnaie/fintech (U.S., Canada, Corée du Sud, Inde, Europe occidentale). Opère à un tempo régulier avec des vols de moindre valeur, suggérant une mission de génération de revenus. Outillage issu de Jeus/AppleJeus (depuis 2018) et d’un « toolkit » fintech (recouvrements avec PipeDown, DevobRAT, HTTPHelper, Anycon). En 2024, livraisons de packages Python malveillants via fraude au recrutement, pivot cloud vers les IAM et détournement d’actifs crypto. Observée aussi l’exploitation de zero-days Chromium et des déploiements de SnakeBaker et sa variante JS NodalBaker (juin 2025) chez des fintechs.
-
💰 PRESSURE CHOLLIMA: auteur des plus gros braquages de cryptomonnaies (y compris les deux plus importants à ce jour), poursuivant des opportunités à forte valeur sans contrainte géographique. Emploie des implants sophistiqués et peu répandus. Divergence probable en février 2019 (tests SwDownloader), rapidement remplacé par SparkDownloader (connu comme TraderTraitor). Campagnes récentes: projets Node.js et Python malveillants livrant les malwares Scuzzyfuss et TwoPence Electric.
-
🕵️ LABYRINTH CHOLLIMA (espionnage): recentré sur l’espionnage avec une lignée Hoplight, opérations modernes apparues en 2020. Émergence de FudModule en 2022 (manipulation directe du noyau, exploitation de zero-days dans drivers vulnérables, Chrome et Windows). Cibles prioritaires: manufacturing et défense (notamment aérospatial européen; U.S., Japon, Italie), intérêt croissant en 2025 pour logistique et shipping, incluant des entités d’infrastructures critiques (p. ex. hydroélectricité). En 2025, WhatsApp devient un vecteur d’entrée majeur via ZIPs d’applications cheval de Troie, souvent avec des leurres RH adaptés par secteur et rôle. FudModule a aussi été observé chez GOLDEN, indiquant un partage d’outils.
-
🔗 Tronc commun et coordination: Les trois unités montrent des tradecraft similaires — compromissions de chaîne d’approvisionnement, leurres RH, logiciels légitimes trojanisés, packages Node.js/Python malveillants — hérités des cadres KorDLL et Hawup. L’infrastructure partagée et les recouvrements de code (dont FudModule) témoignent d’une coordination étroite et d’une stratégie unifiée, malgré des missions distinctes. L’intensification des motivations financières est mise en perspective avec les sanctions et les besoins budgétaires du régime.
-
🧰 IOCs et TTPs (extraits de l’article):
- Malwares/familles: Jeus/AppleJeus, PipeDown, DevobRAT, HTTPHelper, Anycon, SnakeBaker/NodalBaker (JS), SwDownloader, SparkDownloader/TraderTraitor, Scuzzyfuss, TwoPence Electric, FudModule.
- TTPs: fraude au recrutement et leurres RH, trojanisation de logiciels légitimes, packages Python/Node.js malveillants, exploitation de zero-days (Chromium/Chrome/Windows/drivers), messageries (WhatsApp) avec ZIP malveillants, pivots cloud (accès IAM et ressources associées), supply chain compromises, implants faible prévalence.
Il s’agit d’une analyse de menace visant à documenter la segmentation organisationnelle, les cibles, les outils et les TTPs de ces unités APT nord-coréennes.
🧠 TTPs et IOCs détectés
TTP
[‘fraude au recrutement’, ’leurres RH’, ’trojanisation de logiciels légitimes’, ‘packages Python/Node.js malveillants’, ’exploitation de zero-days (Chromium/Chrome/Windows/drivers)’, ‘messageries (WhatsApp) avec ZIP malveillants’, ‘pivots cloud (accès IAM et ressources associées)’, ‘compromissions de chaîne d’approvisionnement’, ‘implants faible prévalence’]
IOC
[‘Jeus/AppleJeus’, ‘PipeDown’, ‘DevobRAT’, ‘HTTPHelper’, ‘Anycon’, ‘SnakeBaker/NodalBaker (JS)’, ‘SwDownloader’, ‘SparkDownloader/TraderTraitor’, ‘Scuzzyfuss’, ‘TwoPence Electric’, ‘FudModule’]
🔗 Source originale : https://www.crowdstrike.com/en-us/blog/labyrinth-chollima-evolves-into-three-adversaries/