Selon un nouveau rapport de l’équipe GReAT de Kaspersky, les attaquants ont ciblé au moins six organisations dans les secteurs des logiciels, de l’informatique, de la finance, des semi-conducteurs et des télécommunications en Corée du Sud. Le nombre réel de victimes pourrait toutefois être plus élevé. Les chercheurs de Kaspersky ont baptisé cette campagne « Operation SyncHole ».
Le groupe Lazarus, dont les premières activités remontent à minima à 2009, est un acteur de la menace notoire disposant de ressources importantes. Récemment, le groupe a été observé en train d’exploiter une vulnérabilité one-day dans Innorix Agent, un outil tiers intégré au navigateur utilisé pour les transferts de fichiers sécurisés dans les systèmes administratifs et financiers. En exploitant cette vulnérabilité, les attaquants ont pu procéder au mouvement latéral, permettant l’installation de logiciels malveillants supplémentaires sur le système hôte ciblé. L’opération a conduit au déploiement de malwares tels que ThreatNeedle et LPEClient, qui ont pu étendre leur emprise sur les réseaux internes. Cet exploit faisait partie d’une chaîne d’attaque plus vaste, diffusée via le downloader Agamemnon, et visait spécifiquement une version vulnérable d’Innorix (9.2.18.496).
En procédant à l’analyse du logiciel malveillant, les experts de Kaspersky ont découvert une autre vulnérabilité zero-day, relative au téléchargement arbitraire de fichiers, qu’ils ont identifié avant que les acteurs de la menace ne l’utilisent dans leurs attaques. Kaspersky a fait remonter les anomalies repérées dans Innorix Agent à l’Agence coréenne de la sécurité informatique (KrCERT) ainsi qu’au fournisseur. Le logiciel a depuis été mis à jour avec des versions corrigées. L’identifiant KVE-2025-0014 a été attribué à la faille.
« En cybersécurité, il est essentiel d’adopter une approche proactive, et c’est précisément cette approche qui a permis de découvrir une vulnérabilité inconnue jusqu’alors, avant même qu’elle ne soit exploitée. La détection de telles menaces en amont est la clé pour empêcher une compromission plus large des systèmes », commente Sojun Ryu, chercheur au GReAT.
Avant ces découvertes concernant Innorix, les experts de Kaspersky avaient déjà découvert l’utilisation d’une variante de la porte dérobée ThreatNeedle et SIGNBT dans des attaques ultérieures contre la Corée du Sud. Le logiciel malveillant était exécuté dans la mémoire d’un processus légitime SyncHost.exe, et avait été généré en tant que sous-processus de Cross EX, un logiciel sud-coréen conçu pour faciliter l’utilisation d’outils de sécurité dans divers environnements de navigation.
L’analyse détaillée du déroulement de la campagne a confirmé que le même vecteur d’attaque a été exploité contre cinq autres organisations en Corée du Sud. Dans chaque cas, la chaîne d’infection semble avoir pour origine une vulnérabilité potentielle de Cross EX, suggèrant qu’il s’agit du point de départ de l’ensemble de l’opération. Un récent avis de sécurité publié par le KrCERT a confirmé l’existence d’une vulnérabilité dans CrossEX, qui a depuis été corrigée.
« Ces conclusions soulignent un problème de sécurité plus large : les plugins de navigateur tiers et les outils d’assistance augmentent considérablement la surface d’attaque, en particulier dans les environnements qui reposent sur des logiciels spécifiques à une région, et parfois obsolètes. Ces composants s’exécutent souvent avec des privilèges élevés, sont souvent stockés dans la mémoire, et interagissent en profondeur avec les processus du navigateur, ce qui en font des cibles très attrayantes pour les attaquants, et plus simples à atteindre que les navigateurs eux-mêmes », commente Igor Kuznetsov, directeur du GReAT.
Le point de départ de l’opération SyncHole
Lazarus s’est servi de sites de médias compromis, généralement visités par un grand nombre d’utilisateurs, comme appât. Cette technique est connue sous le nom de « watering hole », ou d’attaque par point d’eau. Les acteurs de la menace ont filtré le trafic entrant pour identifier les individus intéressants, redirigeant les cibles sélectionnés vers des sites web contrôlés par les attaquants, où une série d’actions techniques ont déclenché la chaîne d’attaque. Cette méthode met en évidence la nature hautement ciblée et sophistiquée des opérations du groupe.