Au cœur de l'arnaque : la menace des informaticiens nord-coréens

Executive Summary

À une époque où le télétravail est devenu la norme, la Corée du Nord a saisi l'occasion de manipuler les processus de recrutement, en utilisant des emplois frauduleux dans le secteur des technologies de l'information (TI) pour générer des revenus pour le régime. Des informaticiens nord-coréens infiltrent des entreprises internationales et sécurisent des postes à distance sous de fausses identités. Non seulement ces agents violent les sanctions internationales, mais ils constituent également une grave menace pour la cybersécurité, en se livrant à des fraudes et à des vols de données et en risquant de perturber les activités des entreprises.

Au-delà de la fraude financière, ces travailleurs de l'informatique ont été associés au cyberespionnage. Insikt Group suit PurpleBravo (anciennement Threat Activity Group 120 [TAG-120]), un cluster lié à la Corée du Nord qui recoupe la campagne « Contagious Interview », qui cible principalement les développeurs de logiciels du secteur des cryptomonnaies. La campagne utilise des malwares tels que BeaverTail, un voleur d'informations qui recueille des informations sensibles, InvisibleFerret, une porte dérobée Python multiplateforme, et OtterCookie, un outil utilisé pour établir un accès persistant sur les systèmes compromis. Au moins trois organisations du secteur plus large des cryptomonnaies ont été ciblées par PurpleBravo entre octobre et novembre 2024 : une société de création de marché, un casino en ligne et une société de développement de logiciels.

Les conclusions soulignent également l'expansion de la Corée du Nord dans d'autres domaines de la fraude, avec la création de sociétés-écrans qui imitent des entreprises informatiques légitimes. TAG-121, un groupe d'activités distinct, a été identifié comme exploitant un réseau de ces entreprises dans toute la Chine. Chaque société-écran imite une organisation légitime différente en copiant une grande partie de son site web. Ces entités créent une couche supplémentaire de déni et rendent la détection plus difficile, ce qui permet aux acteurs nord-coréens de s'intégrer davantage dans les chaînes d'approvisionnement mondiales en technologies de l'information.

Les implications de cette menace sont considérables. Les organisations qui embauchent à leur insu des informaticiens nord-coréens peuvent enfreindre les sanctions internationales et s'exposer à des répercussions juridiques et financières. Plus important encore, ils agissent presque certainement comme des menaces internes, volant des informations exclusives, introduisant des portes dérobées ou facilitant des cyber-opérations plus importantes. Compte tenu des antécédents de la Corée du Nord en matière de vol financier, les risques vont au-delà des entreprises individuelles et touchent le système financier mondial dans son ensemble ainsi que les intérêts de sécurité nationale.

Pour atténuer ces menaces, les organisations doivent adopter des mesures strictes de vérification de l'identité et s'assurer que les personnes recrutées à distance font l'objet d'un contrôle approfondi. Il s'agit notamment d'exiger des entretiens vidéo, des documents d'identification notariés et une surveillance continue des travailleurs à distance afin de détecter toute anomalie. Les employeurs doivent également mettre en place des contrôles techniques pour détecter les accès non autorisés, limiter l'exposition des données et signaler les connexions à distance suspectes. La sensibilisation et la formation des équipes de ressources humaines (RH) et du personnel chargé de la sécurité informatique sont essentielles pour empêcher ces acteurs d'infiltrer les opérations critiques des entreprises.

Bien que la menace posée par les informaticiens nord-coréens soit un problème de fraude, elle constitue également un élément clé d'une stratégie cybernétique sophistiquée qui soutient financièrement un régime sanctionné par la communauté internationale. Alors que ces opérations continuent d'évoluer, les entreprises, les gouvernements et les organismes de cybersécurité doivent travailler ensemble pour combler les lacunes qui permettent à la Corée du Nord d'exploiter l'environnement de travail à distance.

Key Findings

• L'utilisation par la Corée du Nord de travailleurs des technologies de l'information pour obtenir des emplois frauduleux et mener des cybercampagnes coordonnées met en évidence l'évolution de ses tactiques pour financer ses programmes militaires tout en portant atteinte à la sécurité de la propriété intellectuelle au niveau mondial.
• Insikt Group estime que PurpleBravo a ciblé au moins sept entités, dont trois dans le secteur des crypto-monnaies, dont une société de tenue de marché, un casino en ligne et une société de logiciels.
• Insikt Group a découvert des preuves que PurpleBravo utilise le VPN Astrill pour gérer ses serveurs de commande et de contrôle (C2).
• PurpleBravo a été trouvé en train de publier des offres d'emploi sur au moins trois sites web d'embauche, Telegram et GitHub.
• Insikt Group a identifié au moins sept sociétés-écrans suspectées d'être liées à la Corée du Nord et opérant en Chine, se faisant passer pour des entreprises informatiques légitimes en Chine, en Inde, au Pakistan, en Ukraine et aux États-Unis.
• Les organisations doivent mettre en œuvre des mesures de protection techniques robustes, telles que, lorsque cela est possible, la désactivation des logiciels de bureau à distance, la réalisation de contrôles réguliers des ports ouverts sur les réseaux, le déploiement d'une surveillance des menaces internes et la géolocalisation des appareils.
• Insikt Group s'attend à ce que des groupes tels que PurpleBravo et TAG-121 continuent à exploiter l'environnement de travail à distance, menaçant ainsi les chaînes d'approvisionnement informatiques mondiales et la propriété intellectuelle.
• L'évolution de la Corée du Nord vers l'emploi à distance frauduleux et les sociétés-écrans dépassera probablement les contrôles traditionnels des protocoles d'embauche, poussant les organisations et les gouvernements à adopter une vérification d'identité plus rigoureuse, une sécurité renforcée du travail à distance et un partage international de renseignements robuste pour contrer cette menace croissante.

Background

Le 23 janvier 2025, le ministère de la Justice des États-Unis (US DOJ) a inculpé deux ressortissants nord-coréens et trois facilitateurs pour fraude de télétravail qui a enrichi le régime nord-coréen. Dans l'acte d'accusation, le ministère de la justice des États-Unis décrit un système de six ans dans lequel deux citoyens américains et un ressortissant mexicain ont conspiré avec des informaticiens nord-coréens pour travailler à distance pour le compte d'au moins 64 entreprises américaines. Les paiements de dix entreprises ont généré au moins 866 255 $ de revenus qui ont été blanchis par le biais d'un compte bancaire chinois. Outre l'acte d'accusation, on trouve régulièrement dans des sources ouvertes des récits d'organisations et de particuliers ayant rencontré des informaticiens nord-coréens (1, 2, 3). Outre les violations des sanctions, la menace posée par ces travailleurs, qu'il s'agisse de voler des données sensibles ou d'installer des malwares sur des systèmes internes, présente des défis uniques pour les organisations, en particulier dans les environnements de travail à distance.

La Corée du Nord reste très isolée du monde extérieur en raison du contrôle strict exercé par le régime sur les marchandises, les personnes et les informations, ainsi que des sanctions internationales imposées au pays. Malgré cela, les dirigeants de Pyongyang savent exploiter les technologies émergentes pour financer leurs opérations. Avec le durcissement des sanctions, le régime s'est adapté en intensifiant les activités illicites, notamment la contrebande et la cybercriminalité. Ces dernières années, le régime a connu un succès significatif en volant des institutions financières traditionnelles et des actifs numériques tels que les cryptomonnaies. Entre 2020 et 2024, l'essor du travail à distance a créé de nouvelles opportunités pour la Corée du Nord de déployer des informaticiens qualifiés qui s'infiltrent dans des entreprises mondiales sous de fausses identités. Leurs activités soutiennent directement les programmes militaires du régime tout en constituant une menace importante pour les industries qui dépendent de la propriété intellectuelle.

Les recherches sur les travailleurs informatiques nord-coréens se sont concentrées sur les aspects suivants de la menace : les travailleurs informatiques nord-coréens obtenant un emploi frauduleux par l'intermédiaire de proxies, les sociétés-écrans nord-coréennes, souvent dans l'espace de développement de logiciels, imitant des organisations légitimes, et les fausses opportunités d'emploi ciblant les développeurs de logiciels dans les domaines de la crypto-monnaie et de l'IA, parmi d'autres industries. D'autres recherches ont établi des liens entre les travailleurs des technologies de l'information et les campagnes malveillantes en cours menées par des acteurs de la menace nord-coréens.

Threat Analysis

PurpleBravo

La campagne Contagious Interview, documentée pour la première fois en novembre 2023, ciblait principalement les développeurs de logiciels dans le domaine des cryptomonnaies et a été attribuée à la Corée du Nord. La campagne a utilisé le voleur d'informations JavaScript BeaverTail, la porte dérobée multiplateforme en Python InvisibleFerret et, plus récemment, OtterCookie, une nouvelle porte dérobée identifiée en décembre 2024. Le groupe responsable de cette activité est connu sous le nom de CL-STA-0240, Famous Chollima et Tenacious Pungsan dans les sources ouvertes. Insikt Group a attribué à ce groupe d'activités la désignation PurpleBravo (anciennement TAG-120).

Profils frauduleux de PurpleBravo

Le 3 décembre 2024, un développeur a publié un blog sur son expérience avec un opérateur présumé de PurpleBravo. Une personne prétendant être un recruteur les a contactés au sujet d'une offre d'emploi et leur a proposé un entretien. Au cours de l'entretien, l'intervieweur a demandé au développeur de télécharger un défi de codage depuis un dépôt. Le développeur s'est rendu compte que le fichier contenait une fonction malveillante et a mis fin à l'entretien. Bien que le développeur n'attribue pas le malware ou l'acteur, Insikt Group estime avec une grande confiance que le fichier est un voleur d'informations BeaverTail.

L'intervieweur a utilisé un compte LinkedIn sous le nom de Javier Fiesco, qui se décrit comme le directeur technique de l'agence Hill99. Une enquête plus approfondie sur Javier Fiesco a permis de découvrir qu'une personne du même nom était disponible pour travailler sur Remote3, un site d'offres d'emploi dédié au développement Web3. Le site web agencyhill99[.]com a été enregistré sur Hostinger le 13 septembre 2024. Début février 2025, ce site web ne résolvait plus, mais il affichait auparavant une page de destination Hostinger. Une recherche sur AgencyHill99 a révélé une offre d'emploi à la recherche d'un développeur ayant des connaissances en blockchain sur levels[.]fyi, avec les coordonnées suivantes :

• Contactez-nous : alexander@agencyhill99[.]com
• Recruteur : vision.founder1004@gmail[.]com

En pivotant sur le texte de la description du poste, nous avons obtenu deux offres d'emploi privées sur Upwork(1, 2). De plus, un profil du nom de Lucifer, qui semble être un portrait généré par l'IA, travaillant pour AgencyHill99 a été observé sur le site DoraHacks, qui est une organisation de hackathon, de primes et de subventions. Le profil sur DoraHacks indique qu'AgencyHill99 cherche à embaucher un développeur. Insikt Group a également découvert une entreprise nommée Agencyhill99 sur le site Intch, une plateforme d'emploi à temps partiel et à distance. L'entreprise a publié une « opportunité de développeur informatique à temps partiel » rédigée par un certain Newton Curtis, recruteur chez AgencyHill99.

Figure 1: PurpleBravo operator’s account on DoraHacks (Source: DoraHacks)

Insikt Group a trouvé plusieurs publications dans des canaux Telegram provenant de personnes avec l'adresse e-mail @agencyhill99[.]com. faisant la publicité d'emplois. Vous trouverez ci-dessous un résumé des publications :

• Le 16 septembre 2024, un compte avec le nom d'utilisateur Dale_V et l'adresse e-mail ayat@agencyhill99[.]com a publié sur la chaîne Telegram « freelancerclients » qu'il cherchait à embaucher un développeur.
• Le 26 septembre 2024, un compte avec le nom d'utilisateur jaxtonhol et l'adresse e-mail ysai@agencyhill99[.]com a publié sur la chaîne Telegram « indeedemploijobeur » qu'il cherchait à embaucher un développeur. Le même jour, le compte Dale_V avec l'adresse e-mail ysai@agencyhill99[.]com a publié sur la chaîne Telegram « cryptolux_b » qu'il cherchait à recruter un développeur blockchain. Il a publié le même message dans les canaux « itkita », « andexzuxiaomichat » et « usvacancy ». Le 27 septembre 2024, Dale_V a publié le même message dans les canaux « crypto_brazil » et « cryptolux_br ».
• Le 2 octobre 2024, Dale_V a publié le même message avec une nouvelle adresse e-mail, sam@agencyhill99[.]com, dans les canaux « fortifiedx_chat », « family_indonesia_uae_ph », « cryptolux_br » et « freelancerclients ».
• Le 3 octobre 2024, un utilisateur d'une chaîne Telegram en langue indonésienne a publié une capture d'écran d'un message électronique qu'il a reçu des opérateurs de PurpleBravo.
• Le 9 octobre 2024, Dale_V a publié des offres d'emploi dans les canaux « andexzuxiaomichat », « family_indonesia_uae_ph », « cryptolux_br », « crypto_brazil » et « freelancerclients ».
• Le 22 octobre 2024, Dale_V a publié sur la chaîne Telegram « hiringofm » pour rechercher des personnes afin d'aider à maintenir un jeu appelé Destiny War, et a ajouté le lien X, hxxps://twitter[.]com/destinywarnft. Il n'est pas clair si l'acteur contrôle ce compte X ou ce jeu.
• Le 13 novembre 2024, l'utilisateur de Telegram jaxtonhol a publié sur la chaîne Telegram « near_jobs » à la recherche d'ingénieurs blockchain. Le même utilisateur a publié à nouveau le 7 décembre 2024, dans le même canal, avec l'adresse e-mail ysai@agencyhill99[.]com.
• Le 30 novembre 2024, un utilisateur de Telegram a publié un message demandant si une offre d'emploi sur LinkedIn provenant du compte mentionné ci-dessus, Javier Feisco associé à Agencyhill99, était légitime et a partagé une capture d'écran du message.

Dépôt GitHub

Insikt Group discovered a GitHub repository named agencyhill99 with the email address admin@agencyhill99[.]com. A GitHub user, dev-astro-star, made several commits to the repository between October 9 and 19, 2024. Based on the commits, it appears the website used Firebase, a Google backend service for web applications. The user added a button to download a file at the Google Drive link https://drive.google[.]com/uc?id=166zcmpqj-C7NPltm4iwRolz8XuxqZIXt, which is no longer accessible. The email address admin@agencyhill99[.]com was also added to the repository, along with the Telegram channel hxxps://t[.]me/+2AurfGZWxZo0MDgx, which is also no longer live. The user also added a download link to hxxp://65.108.20[.]73/BattleTank[.]exe, which is no longer live and was later updated to hxxp://65.108.20[.]73[:]3000/BattleTank[.]exe. Port 3000 was open from October 20, 2024, to November 22, 2024, on 65.108.20[.]73. The link was then updated to hxxp://locahost[:]3000/BattleTank[.]rar.

Malware et infrastructure PurpleBravo

PurpleBravo utilise les familles de malwares BeaverTail, InvisibleFerret et OtterCookie. BeaverTail est une famille de malwares initialement distribués via des paquets NPM sous forme de charge utile JavaScript, puis sous forme d'exécutables et de logiciels de téléchargement ciblant les environnements Windows et macOS. BeaverTail agit également comme un voleur d'informations, recueillant des informations sur les portefeuilles de crypto-monnaies et les navigateurs. InvisibleFerret est une collection de charges utiles post-compromission qui agissent collectivement comme une porte dérobée dans les environnements des victimes. InvisibleFerret introduit des charges utiles malveillantes supplémentaires dans les environnements des victimes, effectue des actions de vol d'informations et d'empreintes digitales dans l'environnement des victimes, et exploite des protocoles et des logiciels légitimes pour les communications C2. Comme InvisibleFerret, OtterCookie est une famille de malwares post-compromission utilisée comme porte dérobée, qui établit une connectivité C2 via Socket [.] IO, reçoit et exécute des commandes shell à partir de serveurs C2, et exfiltre les données sensibles de la victime.

Insikt Group a analysé des échantillons de malwares BeaverTail, InvisibleFerret et OtterCookie (voir l'Annexe B pour les hachages de fichiers correspondants). Les échantillons de BeaverTail ont été identifiés comme des variantes PE ciblant les environnements Windows. Ces échantillons comportaient des URL liées à freeconference[.]com, un site web de conférence légitime, ce qui concorde avec les conclusions de l'Unit42 concernant les charges utiles de Contagious Interview se présentant comme des exécutables FreeConference. Les échantillons d'OtterCookie étaient deux versions distinctes de la famille de malware. Cependant, l'analyse statique de ces échantillons comprenait des chaînes qui démontraient la capacité des deux échantillons à recueillir et à envoyer des informations sur l'empreinte du système aux serveurs C2 de l'attaquant, y compris des chaînes qui indiquaient qu'OtterCookie était capable d'identifier des actifs en crypto-monnaie et des informations sensibles trouvées dans des types de fichiers spécifiques en utilisant des motifs regex, y compris des exécutables, des photos, et des fichiers config et env, entre autres.

Les échantillons InvisibleFerret analysés étaient des scripts Python avec les fonctionnalités suivantes :

• Détermination de l'emplacement de l'appareil victime via la recherche d'adresse IP locale
• Détails du dispositif d'empreinte digitale (utilisateur et nom d'hôte)
• Connexion à une adresse C2 encodée en Base64 via des requêtes HTTP POST
• Exécution de la découverte d'un répertoire local à l'aide de chaînes codées en dur
• Création d'un shell inversé pour la gestion des sessions SSH et l'exfiltration de données
• Copie des données du presse-papiers, enregistrement des touches et suivi des mouvements de la souris.

Les échantillons précédents d'InvisibleFerret ont été analysés par Zscaler, qui a décrit une chaîne d'infection en deux parties au cours de laquelle la reconnaissance initiale a eu lieu via le trafic HTTP et le FTP a été utilisé pour l'exfiltration des données, comme le montre la Figure 2.

Figure 2: InvisibleFerret Infection chain (Source: Recorded Future and Zscaler)

Insikt Group a identifié 21 serveurs PurpleBravo entre août 2024 et février 2025 (voir l'annexe B pour la liste complète). La majorité des serveurs utilisent l'hébergement Tier[.]Net , avec Majestic Hosting, Stark Industries, Leaseweb Singapore et Kaopu Cloud HK également utilisés dans cette campagne. Insikt Group a déjà observé que d'autres groupes de menace nord-coréens favorisaient plusieurs de ces fournisseurs d'hébergement. En plus des serveurs C2, grâce à Recorded Future Network Intelligence, Insikt Group a observé au moins sept victimes présumées entre septembre 2024 et le 13 février 2025. Les victimes sont situées dans au moins six pays, y compris les Émirats arabes unis, le Costa Rica, l'Inde, le Vietnam, la Turquie et la Corée du Sud. Des recherches open source ont identifié Astrill VPN comme un service favori des informaticiens nord-coréens, avec des preuves qu'ils utilisent ce service avec des outils d'administration à distance. Insikt Group a également observé le trafic réseau entre les points de terminaison VPN Astrill connus et les serveurs PurpleBravo, corroborant cette connexion.

Figure 3: Location of PurpleBravo victims (Source: Recorded Future)

Au moins trois victimes dans le secteur des cryptomonnaies ont été identifiées dans les conclusions résumées ci-dessous :

• Le 3 octobre 2024, Insikt Group a observé un trafic de reconnaissance probable entre un BeaverTail C2 et une société de tenue de marché dans le domaine des cryptomonnaies basée aux Émirats arabes unis. Peu de temps après le trafic de reconnaissance, nous avons observé une probable exfiltration de trafic FTP entre les mêmes adresses IP.
• Le 15 octobre 2024, Insikt Group a observé un trafic de reconnaissance probable entre un BeaverTail C2 et une entreprise de jeux de hasard qui propose des jeux en ligne et vend des machines à sous dans le secteur des cryptomonnaies. La société est enregistrée au Costa Rica. Du trafic de reconnaissance suivi d'un trafic d'exfiltration FTP a été observé entre le C2 et l'infrastructure de l'entreprise les 25 et 26 novembre 2024.
• Le 2 octobre 2024, Insikt Group a observé un trafic potentiel d'exfiltration FTP entre un C2 de BeaverTail et une société de développement de logiciels basée en Inde qui construit des applications de blockchain, d'IA et mobiles, entre autres.

To read the entire analysis, click here to download the report as a PDF.