Des espions nord-coréens se faisant passer pour des télétravailleurs ont infiltré des centaines d'entreprises, CrowdStrike a enquêté sur 320 cas d'employés informatiques nord-coréens

Des espions nord-coréens se faisant passer pour des télétravailleurs ont infiltré des centaines d'entreprises, CrowdStrike a enquêté sur 320 cas d'employés informatiques nord-coréens

CrowdStrike a enquêté sur 320 cas d'employés informatiques nord-coréens au cours de l'année écoulée. Les chasseurs de menaces ont repéré des agents nord-coréens presque quotidiennement, ce qui reflète une augmentation de 220 % de leur activité par rapport à l'année précédente, a déclaré CrowdStrike dans un nouveau rapport.

En 2023, le FBI avait affirmé que la Corée du Nord a orchestré pendant des années un stratagème informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens à distance dans des sociétés basées aux États-Unis. Les salaires des informaticiens ont ensuite été envoyés à la Corée du Nord pour financer son programme de missiles balistiques.

Début juillet, une femme de l'Arizona a été condamnée à plus de huit ans de prison pour avoir hébergé une « ferme d'ordinateurs portables » qui permettait à des cyberagents nord-coréens de se faire passer pour des informaticiens à distance dans plus de 300 entreprises américaines. Christina Marie Chapman a participé à une opération qui, selon le ministère de la Justice, a rapporté au total plus de 17 millions de dollars au régime nord-coréen entre 2020 et 2023. Chapman supervisait au moins 90 ordinateurs portables chez elle, envoyés par des entreprises américaines peu méfiantes qui avaient été dupées en embauchant des Nord-Coréens comme employés à distance.

Récemment, CrowdStrike a révélé son rapport annuel sur la recherche de menaces. Selon le rapport, les agents nord-coréens qui cherchaient et obtenaient des emplois techniques dans des entreprises étrangères ont occupé CrowdStrike, représentant près d'un cas d'intervention ou d'enquête par jour au cours de l'année écoulée. "Nous avons constaté une augmentation de 220 % par rapport à l'année précédente au cours des 12 derniers mois de l'activité de Famous Chollima", a déclaré Adam Meyers, vice-président senior des opérations de lutte contre les adversaires, lors d'une conférence de presse sur le rapport.


L'équipe de recherche sur les menaces de CrowdStrike a enquêté sur plus de 320 incidents impliquant des agents nord-coréens ayant obtenu un emploi à distance en tant que travailleurs informatiques au cours de la période d'un an se terminant le 30 juin. "Cela ne se limite plus aux États-Unis", a déclaré Meyers. Le groupe de cybercriminels a intensifié ses opérations au cours de l'année écoulée, décrochant des emplois dans des entreprises basées en Europe, en Amérique latine et ailleurs afin de percevoir des salaires qui sont ensuite envoyés à Pyongyang.

Les chercheurs de CrowdStrike ont découvert que Famous Chollima avait accéléré le rythme de ses activités grâce à des outils d'intelligence artificielle générative qui ont aidé les agents nord-coréens à manipuler les flux de travail et à échapper à la détection pendant le processus de recrutement. "Nous les voyons presque tous les jours maintenant", a-t-il déclaré, faisant référence au groupe de spécialistes techniques nord-coréens soutenu par l'État nord-coréen qui s'est infiltré dans les effectifs des entreprises du Fortune 500 et des petites et moyennes organisations à travers le monde.


CrowdStrike a déclaré que les techniciens nord-coréens utilisaient également l'IA générative dans leur travail pour les aider dans leurs tâches quotidiennes et gérer diverses communications entre plusieurs emplois (parfois trois ou quatre) qu'ils occupaient simultanément. "Ils utilisent l'IA générative à toutes les étapes de leur opération", a déclaré Meyers. Le groupe de menace interne a utilisé l'IA générative pour rédiger des CV, créer de fausses identités, développer des outils de recherche d'emploi, masquer son identité lors d'entretiens vidéo et répondre à des questions ou réaliser des tâches techniques de codage, selon le rapport.

Les chasseurs de menaces ont observé d'autres changements importants dans les activités malveillantes au cours de l'année écoulée, notamment une augmentation de 27 % par rapport à l'année précédente des intrusions par clavier, dont 81 % n'impliquaient aucun logiciel malveillant. La cybercriminalité a représenté 73 % de toutes les intrusions interactives au cours de cette période d'un an.


CrowdStrike continue de rechercher et d'ajouter de nouveaux groupes de menaces et de nouveaux clusters d'activité à sa matrice de cybercriminels, d'attaquants étatiques et de hacktivistes. La société a identifié 14 nouveaux groupes ou individus malveillants au cours des six derniers mois, a déclaré Meyers.

"Nous suivons actuellement plus de 265 groupes adversaires identifiés, ainsi que 150 ce que nous appelons des clusters d'activités malveillantes", c'est-à-dire des groupes ou individus malveillants non identifiés en cours de développement, a déclaré Meyers. "Ce problème s'inscrit dans la durée et continue de se propager à d'autres pays qui cherchent à développer leurs programmes de collecte de renseignements et d'espionnage en ajoutant des cyberopérations offensives."

Un rapport publié par Mandiant en 2024 avait révélé que des douzaines d'organisations du Fortune 100 ont embauché à leur insu des informaticiens nord-coréens utilisant de fausses identités, générant des revenus pour le gouvernement nord-coréen tout en compromettant potentiellement les entreprises technologiques, selon l'unité Mandiant de Google. Dans la plupart des cas, les informaticiens "se composent d'individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, avec un plus petit nombre en Afrique et en Asie du Sud-Est.", précise le rapport.

Source :

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

KnowBe4, une société de cybersécurité, découvre qu'un travailleur à distance est en réalité un pirate nord-coréen, lorsque le Mac fourni par l'entreprise a commencé à charger des logiciels malveillants

La fraude nord-coréenne impliquant des faux informaticiens a rapporté au moins 88 millions de dollars en six ans, un défi de taille pour la cybersécurité mondiale

Les faux travailleurs IT nord-coréens s'attaquent de plus en plus aux employeurs européens, d'après des rapports, leur stratagème s'appuie sur le concept dit de « fermes d'ordinateurs portables »