- ESET Research publie une analyse détaillée des relations entre le groupe DeceptiveDevelopment et des travailleurs IT présumés nord-coréens, révélant des liens étroits entre leurs activités.
- Les campagnes reposent sur des techniques d’ingénierie sociale avancées, comme les faux entretiens d’embauche et la méthode ClickFix, pour propager des malwares et voler des crypto-actifs.
- ESET estime qu’un objectif secondaire est possible, l’espionnage.
- L’étude s’appuie aussi sur des données OSINT, mettant en évidence les stratégies frauduleuses d’emploi utilisées par des informaticiens présumés nord-coréens pour infiltrer des entreprises.
iT-News (ESET Research) – ESET Research publie une analyse approfondie sur DeceptiveDevelopment, aussi connu sous le nom de Contagious Interview ; un groupe APT aligné sur la Corée du Nord et actif depuis au moins 2023. Ce groupe cible principalement les développeurs indépendants impliqués dans des projets crypto et Web3, sur Windows, Linux et macOS, dans le but de dérober des crypto-actifs. L’étude retrace l’évolution du groupe depuis ses premiers malwares jusqu’aux outils actuels sophistiqués, révélant des campagnes fondées sur l’ingénierie sociale avancée : faux entretiens d’embauche et technique ClickFix. L’étude, présentée à la conférence Virus Bulletin, inclue une analyse OSINT sur les opérations frauduleuses liée à l’emploi et menées par des informaticiens affiliés à la Corée du Nord.
Actif depuis 2023, DeceptiveDevelopment se concentre sur le gain financier en ciblant prioritairement les développeurs des écosystèmes crypto et Web3. Le groupe privilégie l’ingénierie sociale pour l’accès initial : technique ClickFix et faux profils de recruteurs similaires à l’opération DreamJob de Lazarus. Le but est de fournir du code trojanisées lors d’entretiens d’embauche mis en scène. Leur arsenal comprend les infostealers BeaverTail, OtterCookie et WeaselStore, ainsi que le RAT modulaire InvisibleFerret.
« Les attaquants créent de faux profils de recruteurs sur les réseaux sociaux. Ensuite, ils contactent spécifiquement des développeurs de projets crypto pour leur fournir du code trojanisé lors de processus d’entretien fictifs », explique Peter Kálnai, co-auteur de la recherche. « Ces attaquants compensent une sophistication technique modérée par des opérations à grande échelle et une ingénierie sociale créative, parvenant à compromettre même des cibles techniquement averties. », ajoute Kálnai.
Ils exploitent des comptes légitimes compromis et des profils factices sur LinkedIn, Upwork, Freelancer.com et Crypto Jobs List, proposant de fausses opportunités lucratives. Les victimes doivent réaliser des défis de code ou des tâches préparatoires à l’entretien. Le groupe a personnalisé la méthode ClickFix : les victimes sont dirigées vers un faux site d’entretien nécessitant un formulaire détaillé chronophage. À l’étape finale d’enregistrement vidéo, une erreur factice de caméra s’affiche avec un lien « résoudre le problème ». Ce dernier invite l’utilisateur à exécuter une commande terminal censée corriger le dysfonctionnement, mais qui télécharge et lance le malware.
L’étude révèle des connexions avec les campagnes de travailleurs informatiques nord-coréens. Selon l’affiche « Most Wanted » du FBI, cette opération existe depuis avril 2017 et vise l’emploi frauduleux dans des entreprises pour financer le régime. Les travailleurs volent également des données internes à des fins d’extorsion. L’analyse OSINT d’ESET montre un glissement des cibles américaines vers l’Europe (France, Pologne, Ukraine, Albanie).
Les attaquants exploitent massivement l’IA : ils génèrent des contenus professionnels notamment des CV, manipulent des photos de profil, créent des deepfakes en temps réel lors d’entretiens vidéo sur Zoom, MiroTalk, FreeConference ou Teams. Cette menace hybride combine criminalité traditionnelle (usurpation d’identité) et cybercriminalité, exposant les entreprises à des risques de sécurité majeurs, notamment en cas d’embauche de personnel issu de pays sous sanctions. Ils se concentrent principalement sur l’emploi et le travail contractuel en occident, en donnant la priorité aux États-Unis.
« Les activités de DeceptiveDevelopment illustrent une menace hybride, mêlant fraude à l’identité et cyberattaques. Leur approche combine des techniques classiques avec des outils numériques modernes, ce qui les rend particulièrement difficiles à détecter. » conclut Kálnai.
Pour une analyse détaillée des opérations et des outils de DeceptiveDevelopment, consultez le livre blanc d’ESET Research « DeceptiveDevelopment : From primitive crypto theft to sophisticated AI-based deception ». Il détaille l’évolution des outils InvisibleFerret et BeaverTail, tout en révélant des liens avec le RAT PostNapTea du groupe Lazarus. Il analyse également les nouvelles boîtes à outils TsunamiKit et WeaselStore, ainsi que les fonctionnalités de leur serveur C&C et API.
À propos d’ESET
ESET® entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
