Des images secrètes d’un ordinateur portable truqué révèlent comment des espions nord-coréens échappent à votre équipe de sécurité

Des agents nord-coréens ont été filmés en direct après que des chercheurs en sécurité les ont attirés dans un « ordinateur portable de développeur » piégé, capturant ainsi la manière dont l’équipe liée à Lazarus a tenté de s’intégrer dans le circuit de recrutement crypto américain en utilisant des outils d’embauche IA légitimes et des services cloud.

L’évolution de la cybercriminalité sponsorisée par l’État a apparemment été capturée en temps réel par des chercheurs de BCA LTD, NorthScan et la plateforme d’analyse de malwares ANY.RUN.

Piéger l’attaquant nord-coréen

Hacker News a partagé comment, lors d’une opération coordonnée, l’équipe a déployé un « honeypot », c’est-à-dire un environnement de surveillance déguisé en ordinateur portable de développeur légitime, pour appâter le Lazarus Group.

Les images obtenues offrent à l’industrie son aperçu le plus clair à ce jour de la façon dont les unités nord-coréennes, en particulier la division Famous Chollima, contournent les pare-feux traditionnels simplement en se faisant embaucher par le service des ressources humaines de la cible.

L’opération a commencé lorsque les chercheurs ont créé un personnage de développeur et accepté une demande d’entretien d’un recruteur utilisant le pseudonyme « Aaron ». Au lieu de déployer une charge utile de malware classique, le recruteur a orienté la cible vers un arrangement d’emploi à distance courant dans le secteur Web3.

Lorsque les chercheurs ont accordé l’accès à « l’ordinateur portable », qui était en réalité une machine virtuelle fortement surveillée conçue pour imiter un poste de travail basé aux États-Unis, les agents n’ont pas tenté d’exploiter des vulnérabilités de code.

Au lieu de cela, ils se sont concentrés sur l’établissement de leur présence en tant qu’employés modèles en apparence.

Gagner la confiance

Une fois dans l’environnement contrôlé, les agents ont démontré un flux de travail optimisé pour s’intégrer plutôt que pour s’introduire.

Ils ont utilisé des logiciels d’automatisation d’emploi légitimes, notamment Simplify Copilot et AiApply, pour générer des réponses d’entretien soignées et remplir des formulaires de candidature à grande échelle.

Cette utilisation d’outils de productivité occidentaux met en lumière une escalade inquiétante, montrant que des acteurs étatiques exploitent les technologies d’IA conçues pour rationaliser le recrutement d’entreprise afin de les détourner.

L’enquête a révélé que les attaquants faisaient transiter leur trafic via Astrill VPN pour masquer leur localisation et utilisaient des services basés sur navigateur pour gérer les codes d’authentification à deux facteurs associés à des identités volées.

Le but final n’était pas la destruction immédiate mais un accès à long terme. Les agents ont configuré Google Remote Desktop via PowerShell avec un code PIN fixe, s’assurant ainsi de pouvoir garder le contrôle de la machine même si l’hôte tentait de révoquer les privilèges.

Ainsi, leurs commandes étaient administratives, exécutant des diagnostics système pour valider le matériel.

Essentiellement, ils n’essayaient pas de compromettre un wallet immédiatement.

Au lieu de cela, les Nord-Coréens cherchaient à s’imposer comme des initiés de confiance, se positionnant pour accéder aux dépôts internes et aux tableaux de bord cloud.

Un flux de revenus d’un milliard de dollars

Cet incident fait partie d’un complexe industriel plus vaste qui a fait de la fraude à l’emploi un moteur de revenus principal pour le régime sanctionné.

Le Multilateral Sanctions Monitoring Team a récemment estimé que les groupes liés à Pyongyang ont volé environ 2,83 milliards de dollars d’actifs numériques entre 2024 et septembre 2025.

Ce chiffre, qui représente environ un tiers des revenus en devises étrangères de la Corée du Nord, suggère que le cyber-vol est devenu une stratégie économique souveraine.

L’efficacité de ce vecteur d’attaque « humain » a été cruellement démontrée en février 2025 lors de la faille de la plateforme Bybit.

Dans cet incident, des attaquants attribués au groupe TraderTraitor ont utilisé des identifiants internes compromis pour déguiser des transferts externes en mouvements d’actifs internes, prenant finalement le contrôle d’un smart contract de cold-wallet.

La crise de conformité

Le passage à l’ingénierie sociale crée une grave crise de responsabilité pour l’industrie des actifs numériques.

Plus tôt cette année, des sociétés de sécurité telles que Huntress et Silent Push ont documenté des réseaux de sociétés écrans, dont BlockNovas et SoftGlide, qui possèdent des enregistrements d’entreprise américains valides et des profils LinkedIn crédibles.

Ces entités parviennent à inciter les développeurs à installer des scripts malveillants sous couvert d’évaluations techniques.

Pour les responsables de la conformité et les Chief Information Security Officers, le défi a muté. Les protocoles traditionnels Know Your Customer (KYC) se concentrent sur le client, mais le mode opératoire de Lazarus nécessite une norme rigoureuse de « Know Your Employee ».

Le Department of Justice a déjà commencé à sévir, saisissant 7,74 millions de dollars liés à ces stratagèmes IT, mais le délai de détection reste élevé.

Comme le démontre l’opération de BCA LTD, la seule façon de piéger ces acteurs pourrait être de passer d’une défense passive à une tromperie active, en créant des environnements contrôlés qui forcent les acteurs de la menace à révéler leur savoir-faire avant qu’on ne leur confie les clés de la trésorerie.

L’article Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team est apparu en premier sur CryptoSlate.