Des pirates informatiques nord-coréens utilisent de fausses sociétés de crypto-monnaie et de faux entretiens d'embauche pour propager des logiciels malveillants.
Dans une nouvelle et effrayante stratégie de cybercriminalité, des pirates informatiques liés à la Corée du Nord se font passer pour des cabinets de conseil en cryptomonnaies légitimes afin de diffuser des logiciels malveillants lors de faux entretiens d'embauche. Cette campagne sophistiquée, révélée par des experts en cybersécurité, montre jusqu'où les acteurs malveillants sont prêts à aller pour infiltrer les systèmes et voler des informations sensibles.
Table of Contents
Fausses entreprises, menaces réelles
Selon une analyse approfondie de Silent Push, les acteurs de la menace derrière la campagne dite « Contagious Interview » ont créé trois sociétés écrans :
- BlockNovas LLC (blocknovas[.]com)
- Agence Angeloper (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Ces fausses entreprises attirent des victimes sans méfiance – principalement des professionnels de l'informatique et des cryptomonnaies – dans de faux processus de recrutement. Sous couvert de missions de codage ou d'entretiens techniques, les candidats sont amenés à télécharger des logiciels malveillants déguisés en documents de travail légitimes.
Les familles de logiciels malveillants déployées dans cette opération incluent BeaverTail, InvisibleFerret et OtterCookie, chacune soigneusement conçue pour compromettre un large éventail de systèmes, notamment Windows, Linux et macOS.
Un réseau de tromperie
L'opération Contagious Interview, que les entreprises de cybersécurité suivent également sous des noms tels que DeceptiveDevelopment et Famous Chollima, représente une escalade spectaculaire des tactiques de cyberespionnage nord-coréennes.
Les pirates ne s'arrêtent pas aux faux sites web. Ils ont créé des profils frauduleux sur des plateformes de réseaux sociaux comme Facebook, LinkedIn, Pinterest, X (anciennement Twitter), Medium, GitHub et GitLab pour légitimer leurs opérations. Silent Push a constaté que BlockNovas avait même fabriqué une équipe entière d'employés pour son site web, prétendant faussement posséder plus de 12 ans d'expérience, alors que l'entreprise était nouvellement enregistrée.
Cette tromperie aboutit au déploiement de logiciels malveillants. Les victimes ciblées lors du processus de recrutement téléchargent par inadvertance BeaverTail, un outil de vol et de chargement JavaScript, qui installe ensuite InvisibleFerret, une porte dérobée capable de maintenir la persistance et d'exfiltrer des données sensibles. Certaines infections diffusent également un outil malveillant secondaire appelé OtterCookie.
Infrastructures et cibles
BlockNovas ne s'est pas limité aux sites web et aux faux profils. Les enquêteurs de Silent Push ont découvert un tableau de bord d'état sur l'un des sous-domaines de BlockNovas, utilisé pour surveiller plusieurs domaines impliqués dans les attaques. De plus, mail.blocknovas[.]com hébergeait Hashtopolis, un outil open source de gestion du craquage de mots de passe.
Les fausses campagnes de recrutement ont déjà fait des victimes. Dans un cas confirmé datant de septembre 2024, le portefeuille de cryptomonnaies MetaMask d'un développeur a été compromis.
Une autre découverte alarmante concerne un site appelé Kryptoneer (hébergé sur attisscmo[.]com), proposant des services pour connecter des portefeuilles de cryptomonnaies — une initiative visant peut-être à cibler les utilisateurs de blockchain, en particulier ceux connectés à la blockchain Sui.
Répression et implications internationales
Le 23 avril 2025, les forces de l'ordre américaines, dont le FBI, ont saisi le domaine BlockNovas, citant son rôle dans la diffusion de logiciels malveillants sous couvert de fausses offres d'emploi.
Au-delà des exploits techniques, les chercheurs ont constaté que les acteurs malveillants utilisaient des outils d'IA comme Remaker pour générer de fausses photos de profil réalistes, renforçant ainsi la crédibilité de leurs fausses entreprises. Des éléments suggèrent également des liens avec les infrastructures russes : les enquêteurs ont retracé l'opération jusqu'à des plages d'adresses IP russes masquées par des VPN, des proxys et des serveurs VPS près de la frontière entre la Corée du Nord et la Russie.
Compte tenu de ces liens, les experts suggèrent qu’il pourrait y avoir un certain niveau de coopération ou au moins de partage d’infrastructures entre les cybercriminels nord-coréens et russes, bien que la confirmation reste à un niveau de confiance faible à moyen.
Vue d'ensemble : Wagemole et les outils GenAI
La campagne des « Interviews contagieuses » n'est qu'une facette d'une stratégie nord-coréenne plus vaste. Une autre tactique, connue sous le nom de Wagemole, consiste pour des agents nord-coréens à utiliser des profils générés par l'IA pour obtenir des emplois légitimes auprès d'entreprises étrangères. Les salaires de ces emplois sont ensuite reversés au régime.
La société de cybersécurité Okta a averti que les facilitateurs nord-coréens utilisent de plus en plus des outils d'IA générative (GenAI) pour gérer les horaires, transcrire les conversations et traduire les entretiens en temps réel, ce qui rend leurs efforts d'infiltration plus difficiles à détecter et à perturber.
Une vigilance accrue est cruciale
Cette campagne met en lumière la sophistication croissante des cyberattaques commanditées par les États et l'utilisation innovante de l'ingénierie sociale. Les professionnels du secteur technologique, notamment ceux des secteurs des cryptomonnaies et de la finance, doivent rester extrêmement vigilants lorsqu'ils se voient proposer des offres d'emploi, surtout si le processus de recrutement semble précipité, inhabituel ou implique le téléchargement de fichiers inconnus.
Les organisations doivent renforcer leurs processus de sélection des candidats et leurs défenses en matière de cybersécurité. À une époque où une offre d'emploi apparemment anodine peut ouvrir la voie à des infections par des logiciels malveillants dévastateurs, la prudence n'est plus une option : elle est essentielle.
