🔍 Contexte
Publié le 22 avril 2026 par Team Cymru, ce rapport fait suite à une divulgation du chercheur en sécurité crypto ZachXBT, qui a identifié le domaine luckyguys[.]site comme lié à des paiements associés à des faux travailleurs IT nord-coréens (DPRK). L’analyse porte sur 30 jours d’activité réseau autour de cette infrastructure.
🌐 Infrastructure identifiée
- Le domaine
luckyguys[.]siterésolvait vers l’IP 163.245.219[.]19 au moment de l’analyse - Une seconde IP, 216.158.225[.]144, a été découverte via l’analyse de certificats X509 portant le même nom de domaine
- Les deux IPs ont montré une chute brutale de trafic après le 8 avril, date de l’exposition publique par ZachXBT, cohérente avec l’abandon rapide d’infrastructure post-attribution
🔒 Patterns VPN observés
Les connexions VPN vers l’IP identifiée se répartissent ainsi :
- Astrill VPN : 37,5% — déjà associé à l’activité DPRK par GitLab et Flare.io
- Mullvad : 32,25%
- Proton VPN : 6,25%
🖥️ Adresses IP résidentielles
Des adresses IP résidentielles américaines et lettones ont été observées en communication avec l’infrastructure. L’analyse Netflow révèle :
- Usage fréquent d’Astrill VPN
- Connectivité vers des services cloud
- Utilisation de ChatGPT, cohérente avec les findings de Group-IB sur l’usage d’outils IA par les opérateurs DPRK
💼 Plateformes freelance
La plateforme Workana apparaît de manière proéminente dans l’activité réseau observée. Des recherches antérieures de Nisos documentent l’utilisation de profils freelance sur Workana par des opérateurs affiliés à la DPRK pour obtenir des emplois à distance sous de fausses identités.
🎯 Évaluation clé
- Réseau distribué de travailleurs IT distants ou facilitateurs
- Usage probable de systèmes domestiques ou de « laptop farms »
- Participation active à des workflows d’évasion de sanctions
- Chevauchement opérationnel avec le tradecraft connu des faux travailleurs IT DPRK
📄 Type d’article
Il s’agit d’une publication de recherche CTI basée sur l’analyse de télémétrie réseau (Netflow, certificats X509, patterns VPN), visant à documenter et attribuer une infrastructure active liée à des acteurs étatiques nord-coréens.
🧠 TTPs et IOCs détectés
Acteurs de menace
- DPRK IT Workers (state-sponsored) — orkl.eu
TTP
- T1036 — Masquerading (Defense Evasion)
- T1090 — Proxy (Command and Control)
- T1078 — Valid Accounts (Initial Access)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1588.005 — Obtain Capabilities: Exploits (Resource Development)
IOC
- IPv4 :
163.245.219.19— AbuseIPDB · VT · ThreatFox - IPv4 :
216.158.225.144— AbuseIPDB · VT · ThreatFox - Domaines :
luckyguys.site— VT · URLhaus · ThreatFox
🔗 Source originale : https://www.team-cymru.com/post/dprk-fake-it-worker-cyber-threat-actors-infrastructure