Depuis décembre 2023, TA427 identifie des organisations qui n’ont pas activé ou appliqué les politiques DMARC pour usurper l’identité du personnel afin de mieux tromper leurs cibles. TA427 maîtrise parfaitement l’anglais dans ses courriels d’incitation et utilise un contenu spécialement conçu pour chaque cible, en rapport avec ses compétences particulières.

TA427 engage la conversation avec des messages anodins et en continue pendant des semaines, voire des mois, dans le but de recueillir, pour le compte du régime nord-coréen, des renseignements stratégiques sur la politique étrangère des États-Unis et de la Corée du Sud. TA427 utilise ces efforts de conversation pour infecter ensuite les organisations ciblées avec des logiciels malveillants, tels que RandomQuery ou ReconShark.

« Les campagnes de TA427 visent probablement à soutenir la collecte de renseignements par la Corée du Nord sur les futures initiatives politiques des États-Unis, à informer les tactiques de négociation nord-coréennes et à comprendre si des changements affecteront les efforts de la Corée du Nord. En outre, les informations récoltées sont utilisées pour améliorer le ciblage de l’organisation de la victime et pour établir des relations en vue de questions ultérieures. » soulignent les chercheurs Proofpoint.