Le groupe de hackers nord-coréen Kimsuky, également connu sous les noms de APT43 ou Velvet Chollima, intensifie ses attaques de cybersécurité en utilisant un nouveau malware voleur d’informations appelé forceCopy. Selon les experts du AhnLab Security Intelligence Center (ASEC), ces cyberattaques reposent sur des campagnes de phishing ciblées qui exploitent des fichiers LNK trompeurs pour diffuser des logiciels malveillants et voler des identifiants de connexion stockés dans les navigateurs web. Cette nouvelle approche illustre l’évolution constante des méthodes employées par les hackers nord-coréens pour contourner les protections de cybersécurité et compromettre les données sensibles.
Une campagne de phishing sophistiquée
Des fichiers LNK déguisés pour piéger les victimes
Les attaques de Kimsuky commencent par l’envoi d’e-mails frauduleux contenant des fichiers LNK, ces raccourcis Windows déguisés en documents Microsoft Office ou PDF. Lorsqu’un utilisateur ouvre ce fichier piégé, un script malveillant s’exécute via PowerShell ou mshta.exe, un programme légitime de Microsoft. Cette technique permet aux attaquants de télécharger et exécuter des charges utiles supplémentaires provenant de serveurs externes.
Déploiement de multiples logiciels malveillants
Une fois le système compromis, Kimsuky installe plusieurs outils d’espionnage et de contrôle à distance, dont le cheval de Troie PEBBLEDASH et une version modifiée du logiciel RDP Wrapper. Ce dernier permet aux hackers d’établir une connexion persistante avec l’ordinateur infecté via Remote Desktop Protocol (RDP). En complément, un malware proxy est déployé pour masquer les communications avec les serveurs de commande et contrôle.
ForceCopy : un nouvel outil de vol de données
Un voleur de données ciblant les navigateurs
La menace ne s’arrête pas à l’accès distant. Les chercheurs de l’ASEC ont découvert que le malware forceCopy est utilisé pour copier et exfiltrer des fichiers stockés dans les répertoires associés aux principaux navigateurs web. L’objectif est d’accéder aux fichiers de configuration où sont enregistrés les mots de passe et autres données sensibles utilisées par les navigateurs.
Un keylogger pour capturer les frappes clavier
En complément, Kimsuky utilise un enregistreur de frappe basé sur PowerShell afin de capturer les identifiants et mots de passe saisis par les victimes. Ce type de malware permet aux hackers de contourner certaines mesures de sécurisation des comptes en récoltant directement les informations au moment de leur saisie.
Un groupe de hackers nord-coréen en constante évolution
Une tactique différente des précédentes attaques
La campagne actuelle montre une nette évolution par rapport aux techniques initialement utilisées par Kimsuky. Alors que ce groupe de cyberespionnage misait historiquement sur des portes dérobées dédiées, il semble désormais privilégier les outils existants comme RDP Wrapper et des proxys pour prendre le contrôle des machines infectées.
Une menace persistante pour les entreprises et organisations
Active depuis au moins 2012, la cyberarmée de Kimsuky est affiliée au Reconnaissance General Bureau (RGB), le principal service de renseignement extérieur de la Corée du Nord. Ses attaques visent particulièrement les organismes gouvernementaux, les entreprises et les institutions de recherche. En décembre 2024, des chercheurs en cybersécurité ont découvert que le groupe utilisait des services de messagerie russes pour envoyer des e-mails frauduleux dans le but de voler des informations d’identification.
Face aux cybermenaces de plus en plus sophistiquées, nos solutions de cybersécurité CyberCare aident les entreprises à se protéger contre les attaques par phishing et le vol de données sensibles. Contactez nos experts pour sécuriser votre infrastructure.
