🌐 Contexte

Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike).

🎯 Ciblage et modus operandi

HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur :

  • Ingénierie sociale via LinkedIn ou de faux portails d’emploi, avec de fausses offres de postes tech bien rémunérés
  • Fausses évaluations de compétences (take-home assessments) contenant des backdoors
  • Abus de la fonctionnalité tasks.json de VSCode (runOn:"folderOpen") pour exécuter du malware à l’ouverture du projet
  • Backdoors dans le code source lui-même comme vecteur de repli

🛠️ Arsenal malveillant

Le groupe utilise trois malwares principaux :

  • BeaverTail : toolkit multifonction en NodeJS (vol de mots de passe, reverse shell, exfiltration depuis navigateurs, macOS Keychain, Linux Keyring, 1Password)
  • OtterCookie : toolkit NodeJS similaire à BeaverTail, avec protocole C2 distinct (WebSocket)
  • InvisibleFerret : reverse shell en Python

Les malwares sont obfusqués via obfuscator.io. Des artefacts d’IA générative (commentaires verbeux, emojis dans le code) ont été identifiés dans le loader initial de BeaverTail/OtterCookie.

🤖 Usage intensif de l’IA générative

  • Utilisation confirmée de ChatGPT et Cursor pour le développement de malwares
  • Deux nouveaux outils entièrement « vibe codés » découverts, dont un keylogger web-based
  • Les prompts utilisés ont été accidentellement leakés par les opérateurs
  • Tentatives d’utiliser l’IA pour auditer leurs propres backdoors afin de les rendre indétectables par les cibles utilisant l’IA
  • Création de fausses entreprises (sites web, LinkedIn, équipes dirigeantes fictives) via des outils IA comme Anima
  • Comptes Claude (Anthropic) enregistrés mais bannis avant toute utilisation

🔗 Attaque supply chain

Le 18 mars 2026, l’extension VSCode fast-draft a été compromise pour distribuer OtterCookie via le C2 195.201.104[.]53. Le développeur de l’extension a été infecté par OtterCookie le 9 mars 2026, probablement via des credentials exfiltrés.

🏗️ Infrastructure C2 et structure interne

Expel a reverse-engineered plusieurs panels ReactJS :

  • Panel infostealer (BeaverTail) : recherche et téléchargement de credentials volés
  • Panel de contrôle à distance : capacités VNC-like via navigateur
  • Panel file manager + reverse shell : communication WebSocket temps réel
  • Workflow tracker : suivi des performances par équipe/membre (wallets exfiltrés par hostname)

Une exposition accidentelle de la base de données backend a révélé la structure interne : 31 IDs de campagne, 6 équipes (6team, 7team, 8team, 9team, 10team, 101team), soit potentiellement 31 opérateurs.

💰 Impact financier

  • 26 584 campagnes menées entre janvier et mars 2026
  • 2 726 wallets crypto exfiltrés
  • Valeur totale des wallets exfiltrés : jusqu’à $12 millions en 3 mois
  • Au moins 13 wallets ont transféré des fonds vers une adresse Ethereum DPRK connue (créée en 2023, ayant reçu plus de $1,1 million, dont ~$500k en un seul mois)

📊 Type d’article

Il s’agit d’une publication de recherche CTI combinant analyse technique approfondie, reverse engineering d’infrastructure, et évaluation de l’impact opérationnel d’un groupe APT DPRK actif, destinée à la communauté threat intelligence et aux équipes de sécurité.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • HexagonalRodent (state-sponsored) —
  • Famous Chollima (state-sponsored) — orkl.eu · Malpedia
  • Stardust Chollima (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
  • Pressure Chollima (state-sponsored) —

TTP

  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1005 — Data from Local System (Collection)
  • T1021 — Remote Services (Lateral Movement)
  • T1036 — Masquerading (Defense Evasion)

IOC

Malware / Outils

  • BeaverTail (stealer)
  • OtterCookie (rat)
  • InvisibleFerret (backdoor)
  • obfuscator.io (tool)

🟢 Indice de vérification factuelle : 83/100 (haute)

  • ✅ expel.com — source reconnue (Rösti community) (20pts)
  • ✅ 34975 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/4 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 18 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : HexagonalRodent, Famous Chollima, Stardust Chollima (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 195.201.104.53 (ip) → VT (13/94 détections) + ThreatFox (Unknown Stealer)

🔗 Source originale : https://expel.com/blog/inside-lazarus-how-north-korea-uses-ai-to-industrialize-attacks-on-developers/