Les informaticiens nord-coréens ont étendu leurs activités au-delà des États-Unis et ciblent désormais de plus en plus d’organisations à travers l’Europe.
Également appelés « guerriers informatiques », ils cachent leur véritable identité et se font passer pour des travailleurs basés dans d’autres pays en se connectant via des fermes d’ordinateurs portables à des postes sécurisés frauduleusement en tant qu’employés informatiques indépendants à distance dans des entreprises du monde entier pour générer des revenus pour le régime de la République populaire démocratique de Corée (RPDC).
Comme l’ont découvert des chercheurs en sécurité du Google Threat Intelligence Group (GTIG), l’armée informatique nord-coréenne a de plus en plus ciblé des postes dans des entreprises en Allemagne, au Portugal et au Royaume-Uni après que nombre de ses membres ont été inculpés et visés par des sanctions aux États-Unis.
« Dans leurs efforts pour sécuriser ces postes, les informaticiens de la RPDC ont utilisé des tactiques trompeuses, revendiquant faussement des nationalités d’un ensemble diversifié de pays, dont l’Italie, le Japon, la Malaisie, Singapour, l’Ukraine, les États-Unis et le Vietnam. Les identités utilisées étaient une combinaison de personnages réels et fabriqués », a déclaré Jamie Collier, conseiller principal en renseignements sur les menaces chez GTIG.
« Les informaticiens en Europe ont été recrutés via diverses plateformes en ligne, notamment Upwork, Telegram et Freelancer. Le paiement de leurs services a été facilité par la crypto-monnaie, le service TransferWise et Payoneer, mettant en évidence l’utilisation de méthodes qui obscurcissent l’origine et la destination des fonds. »
Par exemple, les enquêteurs du GTIG ont découvert des informations d’identification d’utilisateurs sur des sites d’emploi européens et des plateformes de gestion du capital humain liées à des personnalités de travailleurs informatiques DRPK à la recherche d’un emploi dans des entreprises allemandes et portugaises. Les informaticiens nord-coréens ont également été associés à de nombreux projets au Royaume-Uni, allant de l’IA et de la technologie blockchain au développement de sites Web, de robots et de systèmes de gestion de contenu (CMS).
Un autre informaticien de la RPDC a ciblé plusieurs organisations européennes de la base industrielle de la défense et des secteurs gouvernementaux à la fin de 2024 en utilisant des références et des personnalités fabriquées pour inciter plus facilement les recruteurs à les embaucher.
« Nous voyons de plus en plus d’informaticiens nord-coréens infiltrer de plus grandes organisations pour voler des données sensibles et donner suite à leurs menaces d’extorsion contre ces entreprises », a déclaré Michael Barnhart, analyste principal de Mandiant chez Google Cloud, à Breachtrace en janvier.
« Il n’est également pas surprenant de les voir étendre leurs opérations en Europe pour reproduire leur succès, car il est plus facile de piéger les citoyens qui ne sont pas familiers avec leur stratagème. »
Le 12 septembre 2024, le Bureau de mise en œuvre des sanctions financières du Royaume-Uni a publié un avis sur les informaticiens nord-coréens contenant des informations sur la manière dont les cibles potentielles peuvent atténuer leur exposition aux risques et avertissant que les personnes et les organisations qui les embauchent pourraient enfreindre les sanctions financières.
Répression américaine contre les programmes de travail informatique de la RPDC
Le rapport de GTIG fait suite à de multiples avertissements émis par le FBI concernant l’armée massive de travailleurs informatiques de la Corée du Nord envoyés à l’étranger pour générer des revenus, qui ont incité des centaines d’entreprises aux États-Unis et dans le monde à les embaucher au fil des ans. Cependant, le régime nord-coréen conserve jusqu’à 90% des salaires perçus de cette manière, générant des centaines de millions chaque année pour financer ses programmes d’armement.
Après avoir été découverts et licenciés, certains de ces informaticiens nord-coréens infiltrés ont également utilisé des connaissances d’initiés pour extorquer d’anciens employeurs, menaçant de divulguer des informations sensibles volées dans les systèmes de l’entreprise.
En janvier, le département américain de la Justice a inculpé deux ressortissants nord-coréens et trois facilitateurs pour leur implication dans un stratagème informatique frauduleux pluriannuel impliquant au moins soixante-quatre entreprises américaines entre avril 2018 et août 2024.
Le Bureau du Contrôle des avoirs étrangers (OFAC) du Trésor a également sanctionné des sociétés écrans nord-coréennes liées au ministère nord-coréen de la Défense nationale et accusées de générer des revenus via des systèmes illégaux de télétravail informatique. Le département d’État américain offre maintenant des millions en échange de toute information qui pourrait aider à perturber leurs activités frauduleuses.
Ces dernières années, les agences gouvernementales sud-coréennes et japonaises ont également émis des alertes sur les Nord-Coréens se faisant passer pour des personnes d’autres pays pour obtenir un emploi en tant que télétravailleurs informatiques dans des entreprises privées.