D'abord parler, puis pirater : le groupe de hackers nord-coréen TA427 tente d'approcher des experts en politique étrangère de manière plutôt peu spectaculaire pour connaître leur position sur les sanctions. De nombreuses informations sont obtenues avec de fausses identités.
Les chercheurs de Proofpoint observent de nombreux groupes de hackers parrainés ou soutenus par des agences gouvernementales. L’un d’eux est le TA427, également connu sous le nom d’Emerald Sleet, APT43, THALLIUM ou Kimsuky. Il s'agit d'un groupe allié à la République populaire démocratique de Corée (RPDC ou Corée du Nord) qui soutient le Bureau général de reconnaissance. Il est particulièrement connu pour ses campagnes réussies de phishing par courrier électronique ciblant les experts afin d'obtenir des informations sur la politique étrangère.
La Corée du Nord veut consulter des experts
Depuis 2023, TA427 s’est tourné vers l’utilisation d’e-mails non intrusifs pour s’adresser directement à des experts en politique étrangère afin d’entamer une conversation. Dans ces courriels, les attaquants tentent d’en savoir plus sur les opinions sur le désarmement nucléaire, la politique américaine et coréenne et les questions de sanctions. Ces derniers mois, le groupe a changé d'approche. En décembre 2023, il a commencé à exploiter l’application laxiste de l’authentification, du reporting et de la conformité des messages basés sur le domaine (DMARC) pour usurper diverses identités. En février 2024, le groupe a commencé à utiliser des balises Web pour créer des profils cibles.
Les experts de Proofpoint ont publié leurs conclusions dans une étude approfondie. Ils ont résumé les résultats les plus importants de l’étude en points :
- TA427 envoie régulièrement des emails en apparence anodins pour engager une conversation dans le but d'établir un échange d'informations à long terme avec les cibles du groupe. Les assaillants tentent d’en apprendre davantage sur des sujets d’importance stratégique pour le régime nord-coréen.
- En plus d'utiliser des leurres spécialement créés, TA427 s'appuie fortement sur de fausses identités liées à des groupes de réflexion et à des organisations non gouvernementales. Cela vise à donner aux e-mails une apparence légitime et à augmenter la probabilité que les cibles contactent les attaquants.
- Pour usurper l'identité des personnes qu'il a choisies, TA427 utilise diverses tactiques, notamment l'abus de DMARC associé à des boîtes de réception de courrier électronique gratuites, le typosquattage et l'usurpation d'identité de comptes de messagerie privés.
- TA427 a également utilisé des balises Web pour localiser initialement ses cibles et obtenir des informations de base, par exemple si un compte de messagerie est actif.
Seul le temps nous dira ce que les pirates nord-coréens envisagent de faire avec leurs fausses identités et leurs faux contacts.
Plus sur Proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.