Microsoft affirme qu’un groupe de piratage nord-coréen suivi par Moonstone Sleet a déployé des charges utiles de ransomware Qilin dans un nombre limité d’attaques récentes.
« Depuis fin février 2025, Microsoft a observé Moonstone Sleet, un acteur étatique nord-coréen, déployer le ransomware Qilin dans un nombre limité d’organisations », ont déclaré cette semaine les experts en renseignements sur les menaces de l’entreprise
« Moonstone Sleet a déjà exclusivement déployé son propre ransomware personnalisé dans ses attaques, et cela représente le premier cas où ils déploient un ransomware développé par un opérateur RaaS. »
Auparavant connu sous le nom de Storm-1789, l’activité de ce groupe de menaces se chevauchait initialement avec d’autres attaquants nord-coréens comme Diamond Sleet et Onyx Sleet. Cependant, il est depuis passé à ses propres tactiques et à son infrastructure d’outillage et d’attaque personnalisée.
Microsoft affirme que les pirates informatiques de Moonstone Sleet ciblent à la fois des cibles financières et de cyberespionnage en utilisant des logiciels chevaux de Troie (par exemple, PuTTY), des chargeurs de logiciels malveillants personnalisés, des jeux malveillants et des packages npm, et de fausses sociétés de développement de logiciels (par exemple, CC Waterfall, StarGlow Ventures) mis en place pour interagir avec des victimes potentielles sur LinkedIn, divers réseaux indépendants, Telegram ou par e-mail.
Depuis son apparition en août 2022 sous le nom « Agenda », le gang de rançongiciels Qilin a fait plus de 300 victimes sur son site de fuite dark Web. Cependant, l’opération Ransomware-as-a-Service (RaaS) était à peine active jusqu’à ce que les attaques atteignent un pic vers la fin de 2023. En décembre 2023, les affiliés de Qilin ont commencé à déployer l’un des chiffrements Linux les plus avancés pour cibler les machines virtuelles VMware ESXi.
Jusqu’à présent, Breachtrace a vu des demandes de rançon de Qilin allant de 25 000 à des millions de dollars, selon la taille des victimes. Qilin a fait plus de 310 victimes depuis son apparition, dont le géant de l’automobile Yangfeng, l’éditeur de journaux américain Lee Enterprises, les Services judiciaires australiens Victoria et le fournisseur de services de pathologie Synnovis.
Ce dernier a entraîné une panne qui a touché plusieurs grands hôpitaux du NHS à Londres, les obligeant à annuler des centaines d’opérations et de rendez-vous.
En mai 2024, Microsoft a également lié Moonstone Sleet à une variante personnalisée du ransomware FakePenny. Après une attaque réussie de ransomware FakePenny, les pirates nord-coréens ont été observés en train de demander une demande de rançon de 6,6 millions de dollars en BTC.
Moonstone Sleet n’est pas le premier groupe de menaces soutenu par la Corée du Nord lié à des attaques de ransomware ces dernières années. En mai 2017, les gouvernements des États-Unis et du Royaume-Uni ont blâmé le groupe Lazarus pour l’épidémie de ransomware WannaCry, qui a fait tomber des centaines de milliers d’ordinateurs dans le monde entier.
Des années plus tard, en juillet 2022, Microsoft et le FBI ont lié des pirates nord-coréens à l’opération de ransomware Holy Ghost et aux attaques de ransomware Maui ciblant des organisations de soins de santé.