Des agents nord-coréens ont été filmés en direct après que des chercheurs en sécurité les ont attirés dans un "ordinateur portable de développeur" piégé, capturant comment l'équipe liée à Lazarus a tenté de s'intégrer dans un processus de recrutement crypto américain en utilisant des outils légitimes de recrutement IA et des services cloud.
Cette évolution dans la cybercriminalité parrainée par l'État a été capturée en temps réel par des chercheurs de BCA LTD, NorthScan et la plateforme d'analyse de logiciels malveillants ANY.RUN.
Capturer l'attaquant nord-coréen
Hacker News a partagé comment, dans une opération d'infiltration coordonnée, l'équipe a déployé un "honeypot", un environnement de surveillance déguisé en ordinateur portable légitime de développeur, pour appâter le Groupe Lazarus.
Les images obtenues offrent à l'industrie sa vision la plus claire à ce jour de la façon dont les unités nord-coréennes, en particulier la division Famous Chollima, contournent les pare-feu traditionnels en se faisant simplement embaucher par le département des ressources humaines de la cible.
L'opération a commencé lorsque les chercheurs ont créé un personnage de développeur et accepté une demande d'entretien d'un recruteur connu sous le pseudonyme "Aaron". Au lieu de déployer une charge malveillante standard, le recruteur a orienté la cible vers un arrangement d'emploi à distance courant dans le secteur Web3.
Lorsque les chercheurs ont accordé l'accès à "l'ordinateur portable", qui était en réalité une machine virtuelle étroitement surveillée conçue pour imiter un poste de travail américain, les agents n'ont pas tenté d'exploiter les vulnérabilités du code.
Au lieu de cela, ils se sont concentrés sur l'établissement de leur présence en tant qu'employés modèles en apparence.
Établir la confiance
Une fois dans l'environnement contrôlé, les agents ont démontré un flux de travail optimisé pour se fondre plutôt que pour s'introduire par effraction.
Ils ont utilisé des logiciels légitimes d'automatisation d'emploi, notamment Simplify Copilot et AiApply, pour générer des réponses d'entretien soignées et remplir des formulaires de candidature à grande échelle.
Cette utilisation d'outils de productivité occidentaux met en évidence une escalade inquiétante, montrant que les acteurs étatiques exploitent les technologies d'IA conçues pour rationaliser le recrutement d'entreprise pour les vaincre.
L'enquête a révélé que les attaquants acheminaient leur trafic via Astrill VPN pour masquer leur emplacement et utilisaient des services basés sur navigateur pour gérer les codes d'authentification à deux facteurs associés à des identités volées.
L'objectif final n'était pas une destruction immédiate mais un accès à long terme. Les agents ont configuré Google Remote Desktop via PowerShell avec un code PIN fixe, s'assurant qu'ils pourraient maintenir le contrôle de la machine même si l'hôte tentait de révoquer les privilèges.
Ainsi, leurs commandes étaient administratives, exécutant des diagnostics système pour valider le matériel.
Essentiellement, ils ne tentaient pas de violer un portefeuille immédiatement.
Au lieu de cela, les Nord-Coréens cherchaient à s'établir comme des initiés de confiance, se positionnant pour accéder aux référentiels internes et aux tableaux de bord cloud.
Un flux de revenus de plusieurs milliards de dollars
Cet incident fait partie d'un complexe industriel plus large qui a transformé la fraude à l'emploi en principal moteur de revenus pour le régime sanctionné.
L'équipe de surveillance des sanctions multilatérales a récemment estimé que les groupes liés à Pyongyang ont volé environ 2,83 milliards de dollars en actifs numériques entre 2024 et septembre 2025.
Ce chiffre, qui représente environ un tiers des revenus en devises étrangères de la Corée du Nord, suggère que le cyber-vol est devenu une stratégie économique souveraine.
L'efficacité de ce vecteur d'attaque de "couche humaine" a été prouvée de manière dévastatrice en février 2025 lors de la violation de l'échange Bybit.
Dans cet incident, les attaquants attribués au groupe TraderTraitor ont utilisé des identifiants internes compromis pour déguiser des transferts externes en mouvements d'actifs internes, obtenant finalement le contrôle d'un smart contract de portefeuille froid.
La crise de conformité
Le virage vers l'ingénierie sociale crée une grave crise de responsabilité pour l'industrie des actifs numériques.
Plus tôt cette année, des sociétés de sécurité telles que Huntress et Silent Push ont documenté des réseaux de sociétés écrans, notamment BlockNovas et SoftGlide, qui possèdent des enregistrements d'entreprises américaines valides et des profils LinkedIn crédibles.
Ces entités incitent avec succès les développeurs à installer des scripts malveillants sous couvert d'évaluations techniques.
Pour les responsables de la conformité et les directeurs de la sécurité de l'information, le défi a muté. Les protocoles traditionnels Know Your Customer (KYC) se concentrent sur le client, mais le flux de travail de Lazarus nécessite une norme rigoureuse "Know Your Employee".
Le Département de la Justice a déjà commencé à sévir, saisissant 7,74 millions de dollars liés à ces stratagèmes informatiques, mais le retard de détection reste élevé.
Comme le démontre l'opération d'infiltration de BCA LTD, la seule façon d'attraper ces acteurs pourrait être de passer d'une défense passive à une tromperie active, créant des environnements contrôlés qui forcent les acteurs de menace à révéler leurs méthodes avant qu'on ne leur remette les clés du trésor.
Source: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
