DPRK

🌐 Contexte Publié le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article présente les résultats d’une investigation approfondie sur un groupe APT nord-coréen (DPRK) nouvellement nommé Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et évalué avec haute confiance comme étant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les développeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaîne d’infection repose sur : ...

🔍 Contexte Publié le 22 avril 2026 par Team Cymru, ce rapport fait suite à une divulgation du chercheur en sécurité crypto ZachXBT, qui a identifié le domaine luckyguys[.]site comme lié à des paiements associés à des faux travailleurs IT nord-coréens (DPRK). L’analyse porte sur 30 jours d’activité réseau autour de cette infrastructure. 🌐 Infrastructure identifiée Le domaine luckyguys[.]site résolvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a été découverte via l’analyse de certificats X509 portant le même nom de domaine Les deux IPs ont montré une chute brutale de trafic après le 8 avril, date de l’exposition publique par ZachXBT, cohérente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observés Les connexions VPN vers l’IP identifiée se répartissent ainsi : ...

🗞️ Contexte Article de presse spécialisée publié le 11 avril 2026 par PCMag, basé sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquête a débuté lorsque le vice-président ingénierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, révélant une campagne d’attaque d’envergure mondiale. 🎯 Description de l’attaque La chaîne d’attaque repose sur plusieurs étapes : Vecteur initial : fausses offres d’emploi diffusées via LinkedIn, Upwork, Telegram et Discord, ciblant des développeurs freelance (notamment en Inde et en Asie du Sud) Infection : les cibles sont invitées à exécuter du code depuis des dépôts GitHub infectés Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour récupérer un pointeur vers la Binance Smart Chain, qui héberge le payload final Persistance : le malware est encodé dans des transactions blockchain, le rendant impossible à supprimer et de plus en plus difficile à tracer 🦠 Malware : Omnistealer Le malware baptisé Omnistealer est compatible avec : ...

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via Slack. L’analyse détaillée a été publiée par Socket le 8 avril 2026. 🕵️ Mécanisme d’attaque L’attaque se déroule en quatre étapes : Usurpation d’identité : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dédié aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hébergé sur l’infrastructure légitime Google Sites pour contourner les filtres de sécurité. Collecte de credentials : un faux flux d’authentification récolte l’adresse email et un code de vérification. Livraison de malware : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant). 💻 Divergence par plateforme macOS : un script télécharge et exécute un binaire nommé gapi depuis l’IP distante 2.26.97.61, pouvant mener à une compromission totale du système. Windows : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffré. 🎣 Leurre utilisé L’attaquant a utilisé le prétexte d’un outil d’IA privé censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l’exclusivité de l’accès. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clé d’accès (CDRX-NM71E8T). ...

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

Source: Jamf Threat Labs (blog Jamf). Contexte: poursuite de la campagne « Contagious Interview » attribuée à des opérateurs alignés DPRK et déjà signalée par SentinelOne et Validin, avec de nouveaux leurres et une chaîne d’infection remaniée ciblant macOS. • Social engineering (phase 1) 🎣: des sites de faux recrutements comme evaluza[.]com et proficiencycert[.]com guident les victimes à travers un « hiring assessment » puis leur demandent d’exécuter une commande Terminal prétendument nécessaire pour débloquer caméra/micro. Le JavaScript assemble une commande curl qui télécharge un chargeur vers /var/tmp/macpatch.sh, le rend exécutable et l’exécute en arrière‑plan. ...

Source et contexte: SEAL Intel publie une analyse détaillée décrivant une évolution des tactiques des « IT Workers » liés à la DPRK, qui agissent désormais comme recruteurs pour scaler l’accès à des comptes vérifiés sur des plateformes freelance et opérer sous des identités légitimes. • Le rapport met en évidence l’émergence d’un modèle opérationnel en 8 étapes, partagé depuis 2024, où des profils DPRK passent du simple job-seeking au recrutement coordonné de « collaborateurs ». Objectif: obtenir des comptes vérifiés et des IP propres pour contourner les contrôles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Chainalysis (billet de blog référencé), des travailleurs IT liés à la DPRK infiltrent des entreprises mondiales pour capter des revenus en cryptomonnaies, ensuite blanchis via des techniques on-chain avancées afin de financer des programmes d’armement. L’enquête décrit un schéma où des opérateurs nord-coréens utilisent des identités fictives, des VPN et des technologies d’IA pour obtenir des missions et des postes, reçoivent des paiements en stablecoins (~5 000 USD/mois), puis recourent à des techniques d’obfuscation on-chain (dont chain hopping, DEX, bridges, smart contracts) pour couper les liens entre origine et destination. Des intermédiaires clés (ex. Chinyong, Sim Hyon Sop/KKBC, Lu Huaying, Kim Sang Man) facilitent la consolidation et la conversion en fiat. Des actions récentes d’OFAC (sanctions) et du DOJ (saisies d’actifs) illustrent l’application réglementaire. ...

Selon SentinelOne (récapitulatif « The Good, the Bad and the Ugly » semaine 39), plusieurs opérations récentes illustrent des tactiques avancées d’acteurs menaçants contre des infrastructures et des entreprises occidentales. • Opération Collins Aerospace: les forces de l’ordre britanniques ont procédé à une arrestation rapide après l’attaque ayant perturbé plusieurs aéroports européens. L’incident souligne la capacité de nuisance sur la chaîne aéroportuaire et la réactivité judiciaire au Royaume‑Uni. • Opérations liées à la DPRK: des groupes nord‑coréens coordonnent le vol d’identités de développeurs pour des arnaques au recrutement et l’infiltration d’équipes IT via des travailleurs proxy. Des équipes organisées opèrent en quarts de 10–16 heures avec des scripts préparés pour conduire ces campagnes de recrutement frauduleux. ...