Une campagne de cyberespionnage sophistiquée, attribuée à des hackers nord-coréens, a ciblé les ambassades et ministères des Affaires étrangères de Corée du Sud entre mars et juillet 2025. En utilisant des techniques avancées de spear-phishing, des services cloud comme Dropbox et la plateforme GitHub comme canal de communication, cette opération illustre la manière dont les cyberattaques peuvent désormais exploiter des services légitimes pour passer sous les radars. Voici comment cette offensive complexe, liée au groupe Kimsuky, s’est déroulée et comment elle s’inscrit dans une tendance plus vaste d’infiltration numérique par des informaticiens nord-coréens.
Une campagne de cyberespionnage orchestrée via GitHub et des services cloud
Des emails malveillants ciblent les diplomates sud-coréens
Les chercheurs en cybersécurité de Trellix ont découvert une série d’au moins 19 emails de spear-phishing envoyés à du personnel diplomatique en Corée du Sud. Les courriels, rédigés en plusieurs langues dont le coréen, anglais, français, persan, arabe et russe, semblaient provenir de contacts diplomatiques de confiance. Ils contenaient des fichiers ZIP protégés par mot de passe hébergés sur Dropbox, Google Drive et Daum Cloud, avec l’illusion d’une convocation ou d’un événement réel.
Utilisation de GitHub comme canal de communication malveillant
Une fois le fichier ZIP ouvert, une fausse icône PDF dissimulait un raccourci Windows (.lnk) qui activait un script PowerShell. Ce dernier téléchargeait un malware supplémentaire — une version du cheval de Troie à accès distant Xeno RAT, dissimulé sur GitHub. Grâce à un fichier texte appelé « onf.txt » dans un dépôt privé, le malware tirait les dernières instructions et l’emplacement du fichier malveillant hébergé sur Dropbox. Cela permettait aux opérateurs nord-coréens de mettre à jour rapidement leurs charges utiles et d’effacer leurs traces.
Une infrastructure en rotation rapide pour contourner les défenses
Des tactiques furtives et adaptatives pour échapper à la détection
Les cybercriminels ont renouvelé à un rythme élevé les fichiers malveillants stockés dans le dépôt GitHub, rendant difficile toute détection sur le long terme. Cette rotation d’infrastructure rapide et l’utilisation exclusive de services cloud populaires ont largement contribué à échapper à la surveillance des outils traditionnels de cybersécurité.
Des preuves d’une possible implication chinoise
Une analyse temporelle conduite par Trellix a révélé que la majorité de l’activité provenait d’un fuseau horaire correspondant à la Chine. Un arrêt d’activité de trois jours a même coïncidé avec les fêtes nationales chinoises. Plusieurs hypothèses émergent : un groupe nord-coréen opérant depuis la Chine, des hackers chinois mimant les tactiques de Kimsuky, ou une collaboration entre les deux pays. Cette confusion géopolitique représente une menace grave, notamment pour les pays régulièrement ciblés comme la Corée du Sud.
Infiltration massive des entreprises par des travailleurs IT nord-coréens
L’infiltration de plus de 320 entreprises dévoilée
Parallèlement, CrowdStrike a documenté plus de 320 incidents d’infiltration d’entreprises au cours des 12 derniers mois par des Nord-Coréens se faisant passer pour des développeurs ou experts IT en télétravail. Regroupée sous les noms de code « Famous Chollima » et « Jasper Sleet », cette opération représente une hausse de 220 % par rapport à l’année précédente.
Des outils IA pour passer inaperçus
Ces travailleurs utilisent des assistants IA comme Microsoft Copilot ou VSCodium, ainsi que des outils de traduction pour effectuer leurs tâches, répondre à des messages et maintenir plusieurs emplois simultanément. Certains utilisent même des technologies de deepfake en temps réel pour tromper les recruteurs durant des entretiens vidéo. L’usage de services tels qu’AnyDesk leur permet de travailler à distance via des fermes de laptops dans des conditions proches de la réalité locale des entreprises ciblées.
Des preuves numériques et culturelles préoccupantes
Des adresses mail anonymes et un usage de services cloud stratégiques
Sur les 1 389 adresses email compromises, près de 89 % étaient des comptes Gmail, sécurisé via l’authentification à deux facteurs. Une part importante utilisait des services de messagerie temporaire ou axés sur la confidentialité comme Proton Mail ou Skiff. Des traces d’utilisation du logiciel de retouche photo IA Cutout.Pro suggèrent également que certains profils en ligne ont été modifiés à des fins frauduleuses.
Kimsuky : une maîtrise du camouflage régional
L’utilisation de produits et services sud-coréens comme Daum Cloud ou Kakao s’explique par une volonté claire de masquer le trafic malveillant en l’alignant sur l’activité numérique locale. Une stratégie déjà bien connue du groupe Kimsuky, qui opère souvent depuis des adresses IP russes ou chinoises en imitant des services légitimes afin d’éviter la détection.
Comprendre les techniques offensives pour mieux s’en défendre
Pour renforcer ses défenses face à ces tactiques avancées, il est essentiel de comprendre comment les hackers nord-coréens opèrent. Notre livre pour hacker permet de découvrir les bases des techniques offensives utilisées dans ce type de piratage. Que ce soit pour apprendre à hacker dans un cadre éthique ou pour comprendre les vecteurs d’attaque utilisés, cette ressource peut être une première étape stratégique dans la prévention des intrusions sophistiquées.
Pour vous accompagner face à ces menaces complexes, CyberCare propose des solutions de cybersécurité avancée, incluant l’analyse des menaces persistantes et la détection des comportements anormaux dans vos infrastructures numériques.
