North Korea Uses GitHub in Diplomat Cyber Attacks as IT Worker Scheme Hits 320+ Firms

Piratage diplomatique nord-coréen et fraude à l’emploi informatique

Des acteurs de menaces nord-coréens sont derrière une campagne d’espionnage cybernétique ciblée sur des missions diplomatiques entre mars et juillet 2025. Au moins 19 courriels de spear-phishing, se faisant passer pour des contacts diplomatiques légitimes, ont été envoyés pour inciter le personnel des ambassades et des ministères des affaires étrangères à ouvrir des fichiers ZIP malveillants.

Ces attaques utilisent GitHub comme canal de commande et de contrôle, et exploitent des services de stockage cloud comme Dropbox et Daum Cloud pour distribuer une variante du trojan d’accès à distance Xeno RAT, connu sous le nom de MoonPeak. La campagne, attribuée au groupe Kimsuky, affiche des similitudes tactiques avec des opérations basées en Chine, soulevant la possibilité d’une opération nord-coréenne menée depuis la Chine, une imitation chinoise, ou une collaboration.

Parallèlement, un schéma plus large impliquant des Nord-Coréens se faisant passer pour des travailleurs informatiques à distance a compromis plus de 320 entreprises au cours de la dernière année, générant des revenus illicites pour le régime. Ce schéma, également connu sous les noms de Famous Chollima et Jasper Sleet, utilise des assistants de codage GenAI, des technologies de deepfake pour les interviews, et des fermes d’ordinateurs portables pour se faire passer pour des employés locaux.

Points Clés :

• Ciblage diplomatique : Campagne d’espionnage ciblant les missions diplomatiques avec du spear-phishing sophistiqué.
• Utilisation de GitHub : GitHub est exploité comme canal de commande et de contrôle (C2).
• Malware Xeno RAT (MoonPeak) : Le trojan d’accès à distance est distribué via des services cloud.
• Attribution et origine suspecte : Attribué à Kimsuky, mais avec des indices pointant vers une origine ou une collaboration chinoise.
• Fraude à l’emploi informatique : Des Nord-Coréens se font passer pour des travailleurs informatiques pour infiltrer des entreprises et générer des revenus.
• Technologies avancées : Utilisation de GenAI, deepfakes et fermes d’ordinateurs portables dans les opérations de fraude à l’emploi informatique.

Vulnérabilités :

• Aucune vulnérabilité spécifique avec un identifiant CVE n’est mentionnée explicitement dans le texte. Les méthodes d’attaque exploitent la confiance des destinataires et les fonctionnalités légitimes de plateformes comme GitHub et Dropbox.

Recommandations :

• Être vigilant face aux courriels de spear-phishing, même s’ils proviennent de sources apparemment fiables.
• Examiner attentivement les expéditeurs, les pièces jointes et les liens avant d’interagir.
• Mettre en œuvre des mesures de sécurité robustes, y compris l’authentification multifacteur (MFA) et la segmentation du réseau.
• Sensibiliser le personnel aux tactiques d’ingénierie sociale et aux campagnes d’hameçonnage.
• Surveiller l’utilisation des services cloud et des plateformes de développement pour détecter toute activité suspecte.
• Pour les entreprises, mettre en place des processus de vérification rigoureux pour les candidats à distance, en particulier pour les postes liés à l’informatique.

Source