Kimsuky : En juin dernier, SentinelLabs a détecté une nouvelle campagne d’ingénierie sociale vraisemblablement menée par le groupe APT nord-coréen Kimsuky. Elle avait pour objectif de déployer des malwares et de voler les identifiants d’abonnement des utilisateurs de Google et de NK News, un site d’actualité américain sur la Corée du Nord. Les activités de ce groupe répondent aux intérêts du gouvernement nord-coréen. Opérant depuis plus de 10 ans, les cyberattaques du groupe Kimsuky ont débuté avec des envois d’emails malveillants à des personnels du gouvernement, du milieu politique et du cercle universitaire ainsi qu’à des journalistes américains pour obtenir des informations sensibles liées à la Corée du Sud.

JumpCloud : En juillet dernier, l’équipe de SentinelLabs a publié un rapport associant le piratage de JumpCloud à un APT soutenu, une fois de plus, par la Corée du Nord. Pour rappel, le 10 juillet, JumpCloud, société informatique américaine, avait révélé un « incident » qui l’avait conduit à réinitialiser les clés API de ses clients. Ce piratage montre que les cybercriminels nord-coréens, qui se contentaient auparavant de s’en prendre aux seules sociétés de crypto-monnaies, s’attaquent désormais aux entreprises pouvant leur donner accès à de multiples sources de bitcoins et autres monnaies numériques. Il est évident qu’ils s’adaptent en permanence et explorent de nouvelles méthodes pour infiltrer les réseaux ciblés. JumpCloud illustre clairement leur penchant pour la supply chain, qui peut donner lieu à une multitude d’intrusions ultérieures potentielles.

Realst : Fin juillet, SentinelOne a publié une analyse sur un nouveau malware infostealer surnommé « Realst », ciblant les utilisateurs de Windows et macOS. Découvert pour la première fois par le chercheur en sécurité iamdeadlyz, ce malware se propage via de faux jeux de blockchain. SentinelLabs a révélé que non seulement ce malware était écrit en Rust, un langage de programmation émergent très apprécié, mais que certaines variantes ciblaient déjà macOS 14 Sonoma avant même sa sortie publique cet automne. Au-delà d’un virus, "Realst" est un voleur d’informations sophistiqué capable de vider les portefeuilles cryptographiques et de récolter les mots de passe et les données du navigateur.

ScarCruft et Lazarus : Début août, SentinelLabs a identifié une intrusion dans les systèmes du fabricant de missiles russe NPO Mashinostoyeniya. La division de recherche a notamment identifié deux groupes de hackers, soutenus par la Corée du Nord. Ils ont ciblé les infrastructures informatiques internes sensibles de la base industrielle de défense russe (DIB). Le groupe ScarCruft a compromis un serveur de messagerie spécifique et le groupe Lazarus a utilisé une backdoor, baptisée OpenCarrot, pour compromettre leur réseau interne. À l’heure actuelle, SentinelLabs souligne l’existence d’une relation possible entre ces deux groupes de hackers bien qu’il soit impossible d’en déterminer la nature. Cet incident illustre bien les manœuvres de la Corée du Nord pour faire progresser secrètement ses objectifs de développement de missiles.

Bronze Starlight : Mi-août, SentinelLabs a identifié des malwares et une infrastructure susceptibles d’être liés à des activités menées par la Chine dans le secteur des jeux d’argent en Asie du Sud-Est. Les indicateurs pointent vers le groupe Bronze Starlight. Ce groupe est soupçonné d’être à l’origine d’un ransomware dont l’objectif principal semble être l’espionnage plutôt que le gain financier. Cependant, le regroupement exact reste flou en raison des relations interconnectées entre les différents groupes APT chinois. Les cyberpirates chinois ont toujours partagé des malwares, des infrastructures et des tactiques opérationnelles par le passé, et continuent de le faire. Les activités évoquées illustrent la nature complexe du paysage des menaces chinoises, composé de groupes étroitement liés.