DPRK-Linked Hackers Use GitHub as C2 in Multi-Stage Attacks Targeting South Korea

1 minute de lecture

Mis à jour : April 06, 2026

Infiltration via GitHub : La stratégie de cyberespionnage du groupe Kimsuky

Le groupe de hackers nord-coréens Kimsuky mène des campagnes de cyberespionnage sophistiquées ciblant des organisations sud-coréennes. Ces attaques se distinguent par l’utilisation de services légitimes et d’outils natifs Windows (LolBins) pour masquer leurs activités.

Points clés :

Vecteur d’attaque : Distribution via des emails de phishing contenant des raccourcis Windows (LNK) malveillants.
Infrastructure C2 : Détournement de GitHub pour la commande et le contrôle (exfiltration de données et réception d’instructions), tirant parti de la confiance accordée à cette plateforme pour éviter la détection.
Persistance : Utilisation de tâches planifiées exécutant des scripts PowerShell/VBScript toutes les 30 minutes.
Techniques d’évasion : Les scripts détectent les environnements de virtualisation et de débogage pour s’auto-terminer si une analyse est suspectée.
Polyvalence : Utilisation de divers malwares, notamment Xeno RAT, MoonPeak, ainsi que des backdoors basées sur Python et le cheval de Troie RokRAT (via side-loading de DLL).

Vulnérabilités exploitées :

Aucune CVE spécifique n’est mentionnée ; les attaquants exploitent les fonctionnalités natives du système d’exploitation et des services Cloud (GitHub, Dropbox) plutôt que des failles logicielles documentées.

Recommandations :

Surveillance des logs : Surveiller étroitement l’exécution de scripts PowerShell suspects, particulièrement ceux configurés comme tâches planifiées persistantes ou utilisant des réseaux externes non autorisés.
Filtrage des emails : Renforcer les politiques de filtrage des pièces jointes, en bloquant ou en inspectant systématiquement les fichiers LNK et les macros Office.
Restrictions LolBins : Limiter l’exécution de PowerShell et d’autres outils d’administration système (LolBins) via des politiques de contrôle d’application (AppLocker ou Windows Defender Application Control) pour les utilisateurs non autorisés.
Analyse comportementale : Déployer des solutions EDR capables de détecter les comportements anormaux, tels que la création de tâches planifiées masquées ou les connexions inhabituelles vers des dépôts publics GitHub à partir de postes de travail internes.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

DPRK-Linked Hackers Use GitHub as C2 in Multi-Stage Attacks Targeting South Korea

Infiltration via GitHub : La stratégie de cyberespionnage du groupe Kimsuky

Partager sur

Vous pourriez aimer

Why Simple Breach Monitoring is No Longer Enough

Dépasser le monitoring de base face à la menace des infostealers

⚡ Weekly Recap: Axios Hack, Chrome 0-Day, Fortinet Exploits, Paragon Spyware and More

Panorama des menaces : Chaînes d’approvisionnement et vecteurs d’attaque discrets

Traffic violation scams switch to QR codes in new phishing texts

Escroqueries par SMS : Le phishing aux QR codes pour de fausses contraventions

Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools

Neutralisation des solutions de sécurité par les ransomwares Qilin et Warlock via la technique BYOVD