Lazarus

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Selon Logpresso (13 octobre 2025), une campagne attribuée au groupe APT nord-coréen Lazarus a visé en septembre 2025 des systèmes Windows et MacOS via de faux correctifs/updates NVIDIA, avec des objectifs d’espionnage et de gains financiers. La campagne est multiplateforme et s’appuie sur des fichiers malveillants déguisés en mises à jour NVIDIA/patchs de pilotes. Les charges utiles, écrites en Node.js et Python, établissent la persistance, collectent des informations système et d’implantation géographique, extraient des identifiants et des données de carte de paiement, et communiquent avec des serveurs C2. Les cibles incluent des actifs crypto, des institutions financières et des entités gouvernementales. ...

Selon The Telegraph (telegraph.co.uk, 17/08/2025), des hackers nord-coréens sont accusés d’un vol d’environ 17 M£ en cryptomonnaies chez Lykke, un exchange enregistré au Royaume‑Uni mais opéré depuis la Suisse, un incident qui a précédé l’arrêt des opérations puis la liquidation de l’entreprise. — Les faits et l’impact: Lykke a déclaré avoir perdu 22,8 M$ (≈16,8 M£) en Bitcoin, Ethereum et autres cryptos, arrêtant ensuite le trading et fermant officiellement en décembre. En mars, un juge a ordonné la liquidation après une action de plus de 70 clients affirmant avoir perdu 5,7 M£. L’entité suisse parente a aussi été mise en liquidation. 💸 ...

Selon Moonlock, une campagne attribuée à des acteurs nord-coréens exploite des stealer malware visant macOS pour collecter des identités et contourner les vérifications d’antécédents, afin d’infiltrer des entreprises américaines comme « faux » travailleurs IT. Le dossier met en perspective ces activités avec de récents raids du FBI contre des « laptop farms », soulignant le lien entre cybercriminalité, espionnage et contournement des sanctions. La menace décrite repose sur l’ingénierie sociale comme vecteur principal (faux recrutements, arnaques de type ClickFix), plutôt que sur des exploits sophistiqués. Les identifiants et données personnelles volés sont réutilisés pour dépasser les contrôles RH et accéder à des postes sensibles, participant à des objectifs d’espionnage et de contournement des sanctions 🕵️‍♂️. ...