GrayscaleInsight

Files / Corée du Nord

Analyse du réseau : menaces et activités des travailleurs nord-coréens

Ce rapport analyse en profondeur les activités frauduleuses et d'espionnage cybernétique menées par des travailleurs nord-coréens infiltrant des entreprises mondiales via un emploi à distance, en retraçant leurs clusters malveillants, leurs réseaux de sociétés écrans, ainsi que leurs modes opératoires, techniques et infrastructures.

Detail

Published

22/12/2025

Liste des titres des chapitres clés

  1. Résumé exécutif
  2. Principales conclusions
  3. Contexte
  4. Analyse de la menace
  5. Mesures d'atténuation
  6. Perspectives
  7. Annexe A : Modèle diamant PurpleBravo
  8. Annexe B : Indicateurs de compromission
  9. Annexe C : Techniques MITRE ATT&CK
  10. Annexe D : Sociétés de couverture TAG-121

Présentation du document

À une époque où le travail à distance devient de plus en plus courant, le régime nord-coréen exploite cette tendance pour générer des revenus par le biais d'embauches frauduleuses dans les technologies de l'information (IT). Les travailleurs nord-coréens de l'IT, utilisant de fausses identités, s'infiltrent dans des entreprises internationales pour obtenir des postes à distance. Ces opérations violent non seulement les sanctions internationales, mais constituent également une menace sérieuse pour la cybersécurité, impliquant fraude, vol de données et perturbation potentielle des activités commerciales. Ce rapport, basé sur les recherches de l'Insikt Group (la division de recherche sur les menaces de Recorded Future), analyse systématiquement le mode opératoire de cette menace émergente, les clusters d'activités malveillantes associés et son impact profond sur la chaîne d'approvisionnement mondiale.

Le cœur du rapport est le suivi d'un cluster malveillant lié à la Corée du Nord, connu sous le nom de PurpleBravo (anciennement Threat Activity Group 120). Ce cluster présente des chevauchements avec une campagne d'entretiens infectieux ciblant principalement les développeurs de logiciels de l'industrie des cryptomonnaies. PurpleBravo utilise des logiciels malveillants tels que BeaverTail (stealer d'informations), InvisibleFerret (backdoor Python multiplateforme) et OtterCookie (outil pour établir un accès persistant sur les systèmes infectés). Entre octobre et novembre 2024, PurpleBravo a ciblé au moins trois organisations dans le domaine des cryptomonnaies : une société de market making, un casino en ligne et une société de développement logiciel. De plus, ce cluster était actif sur au moins trois sites d'emploi, Telegram et GitHub, publiant régulièrement des offres d'emploi et mettant à jour des dépôts de code.

La recherche révèle également l'expansion des activités frauduleuses nord-coréennes vers d'autres domaines, notamment la création de sociétés de couverture imitant des entreprises IT légitimes. Le rapport identifie un autre cluster d'activités indépendant, TAG-121, qui opère un réseau de sociétés de couverture en Chine. Ces sociétés usurpent l'identité d'entreprises IT légitimes de Chine, d'Inde, du Pakistan, d'Ukraine et des États-Unis en copiant la majeure partie du contenu de leurs sites web. L'Insikt Group a identifié au moins sept de ces sociétés de couverture suspectées d'être liées à la Corée du Nord. Ces entités augmentent la déniabilité des acteurs nord-coréens, rendent la détection plus difficile et leur permettent de s'ancrer davantage dans la chaîne d'approvisionnement mondiale de l'IT.

Le rapport analyse en détail les tactiques, techniques et procédures (TTP) de PurpleBravo, y compris les fonctionnalités des familles de logiciels malveillants utilisés, l'infrastructure de serveurs de commande et contrôle (C2) (utilisant principalement des fournisseurs d'hébergement comme Tier.Net), et les preuves de gestion via le VPN Astrill. Sur la base du renseignement réseau de Recorded Future, le rapport observe au moins sept victimes présumées entre septembre 2024 et le 13 février 2025, réparties dans plusieurs pays dont les États-Unis, les Émirats Arabes Unis, le Costa Rica, l'Inde, le Vietnam, la Turquie et la Corée du Sud.

Pour contrer cette menace, le rapport synthétise les recommandations de multiples parties, notamment l'Internet Crime Complaint Center (IC3) américain, le Département du Trésor américain et le gouvernement sud-coréen. Il propose des mesures d'atténuation détaillées couvrant plusieurs dimensions : authentification, vérification des antécédents, mesures techniques, prévention financière, pratiques de communication et politiques organisationnelles. Le rapport estime que, face au resserrement continu des sanctions internationales, les opérations cybernétiques nord-coréennes devraient continuer à croître en ampleur et en complexité. Pour faire face à un adversaire utilisant des moyens sophistiqués pour contourner les processus de recrutement traditionnels, les entreprises et les gouvernements doivent adopter des vérifications d'identité plus strictes, renforcer la sécurité du travail à distance et intensifier le partage international de renseignements afin de contenir cette menace grandissante.