Comment les méthodes nord-coréennes de vol de credentials ont été révélées par la fuite « Kim »

 (dti.domaintools.com)
2 points par GN⁺ 2025-09-07 | 1 commentaires | Partager sur WhatsApp
  • La récente affaire de la fuite « Kim » a mis en lumière les méthodes nord-coréennes de vol de credentials
  • Les hackers nord-coréens utilisent activement des sites de phishing et des techniques d’ingénierie sociale
  • Ils ciblent principalement les pays occidentaux et les entreprises IT
  • Le mode opératoire est principalement lié au vol des identifiants de comptes email
  • Cette révélation renforce la vigilance de sécurité dans de nombreuses entreprises, notamment aux États-Unis

Aperçu de l’affaire de la fuite « Kim »

  • La récente fuite « Kim » a révélé que la Corée du Nord menait de façon planifiée des opérations de vol massif de credentials
  • Ce dump de données a été partagé sur plusieurs plateformes IT et communautaires, exposant les méthodes concrètes de l’attaque

Principales méthodes de piratage de la Corée du Nord

  • Les groupes de hackers nord-coréens collectent les informations de connexion des utilisateurs via des emails de phishing et des sites web imitant les originaux
  • Ces sites de phishing sont conçus pour ressembler de très près aux vrais sites, de sorte que les informations de compte des victimes sont automatiquement dérobées lorsqu’elles les saisissent
  • Des techniques d’ingénierie sociale sont également largement utilisées pour exploiter les failles psychologiques des utilisateurs

Cibles et objectifs des attaques

  • Les entreprises IT occidentales et les organisations liées à la sécurité, notamment aux États-Unis et en Europe, constituent les principales cibles
  • Au sein des organisations, les personnels disposant de privilèges élevés, comme les RH, les développeurs et les administrateurs système, sont particulièrement visés
  • L’objectif identifié est d’utiliser les credentials volés pour accéder à des informations internes et ouvrir de nouvelles voies d’attaque

Portée et implications en matière de sécurité

  • La fuite « Kim » permet d’observer les modes opératoires réels de la Corée du Nord ainsi que l’évolution de ses tactiques
  • Dans l’industrie IT mondiale, les discussions se multiplient autour du renforcement de la posture de sécurité et de la refonte des politiques de gestion des credentials
  • Les entreprises et institutions concernées renforcent la surveillance en temps réel et les formations de réponse au phishing

Conclusion et défis à venir

  • Les activités des groupes de hackers nord-coréens continuent d’évoluer, avec des méthodes toujours plus sophistiquées
  • Il est nécessaire de renforcer la sensibilisation à la sécurité des professionnels de l’IT et de mettre en place des dispositifs de défense multicouches à l’échelle de l’organisation

À lire aussi

1 commentaires

 
GN⁺ 2025-09-07
Avis sur Hacker News

  • Je pense que les hackers responsables de cette fuite sont bien ces personnes-là ; voir l’article correspondant sur phrack.org

    • On y retrouve la vision élitiste classique du hacker : « Je suis un hacker, et je suis à l’opposé de vous. Dans mon monde, tout le monde est égal. Nous n’avons ni couleur de peau, ni nationalité, ni objectif politique, et nous ne sommes les esclaves de personne. » Mais cet espace où « tout le monde est égal » est une illusion qui ne fonctionne réellement que pour certains types de personnes

  • Ce qui rend cette affaire intéressante, c’est le lien entre la DPRK (Corée du Nord) et la PRC (Chine). Il est difficile de savoir jusqu’où va la coordination entre les deux, mais elles ne sont clairement pas totalement indépendantes. Je me demande si cette désignation publique ne va pas rendre plus difficile pour la PRC de nier son implication avec la DPRK et ses propres activités

    • Même si Pékin est mécontent des agissements de Pyongyang, la Corée du Nord reste trop importante stratégiquement pour la Chine pour que son soutien vacille, ou pour qu’elle essaie vraiment de le dissimuler
    • À ce stade, il ne semble pas y avoir de preuve irréfutable qui empêcherait la PRC de nier sa propre implication
    • Le soutien chinois à la Corée du Nord n’a plus rien d’un secret, et il est d’un niveau comparable au soutien américain à la Corée du Sud. D’un point de vue géopolitique, la Chine a même des raisons plus fortes. Pour comprendre ce contexte, il est utile de se référer à la Monroe Doctrine. La crise des missiles de Cuba devrait d’ailleurs plutôt être vue comme la crise des missiles en Turquie. Quand les États-Unis ont déployé des missiles nucléaires Jupiter en Turquie, l’URSS a répondu en en déployant à Cuba. On est finalement arrivé au bord d’une guerre mondiale, puis l’URSS a reculé et, en privé, les missiles en Turquie ont aussi été retirés. Voir Monroe Doctrine et informations sur les missiles Jupiter
    • Dans la communauté de la cybersécurité, le lien Chine–Corée du Nord est largement connu. La Chine a été le premier pays au monde à créer officiellement une unité cyber militaire. La Corée du Nord a suivi, dans une logique de génération de revenus, et a même acquis de l’immobilier comme des hôtels en Chine continentale pour s’en servir comme bases opérationnelles. La Chine joue aussi de fait un rôle de « blanchisserie » pour la Corée du Nord en recevant des dollars dans le commerce bilatéral puis en fournissant les approvisionnements

  • Les données divulguées indiquent que des dépôts GitHub pour des outils offensifs comme TitanLdr, minbeacon, Blacklotus et CobaltStrike-Auto-Keystore ont été utilisés. Je me demande pourquoi GitHub autorise le développement de tels outils offensifs. Est-ce simplement une question de liberté d’expression, ou bien ces outils ont-ils aussi une valeur académique ?

    • Ces outils sont souvent utilisés dans les tests d’intrusion et les opérations de red team. Les interdire publiquement aurait surtout pour effet d’empêcher les défenseurs de connaître les méthodes des attaquants, sans réellement gêner les vrais hackers malveillants. C’est une conclusion débattue à de nombreuses reprises dans les années 1990 et 2000
    • Ce sont des outils principalement utilisés par les chercheurs en sécurité et les pentesters
    • Je me demande alors quelle serait l’alternative
    • On peut aussi se demander si GitHub ne devrait pas bloquer les pays sous sanctions comme l’Iran ou la Corée du Nord ; voir la politique officielle

  • J’avais entendu dire qu’en Corée du Nord, il est difficile pour un citoyen ordinaire d’apprendre l’informatique ou même de posséder un ordinateur. On dit que seuls quelques membres de l’élite sont sélectionnés et formés ; il est donc assez étonnant de les voir accéder à des technologies de pointe pour mener des opérations de piratage

    • Les hackers nord-coréens sont probablement parmi les meilleurs au monde. C’est plausible si l’État sélectionne très tôt des élèves puis leur fait suivre une formation intensive. En Occident, l’éducation est plus généraliste et même l’enseignement universitaire diffère du travail réel de hacker. Un hacker occidental de 22 ans n’a souvent que six mois de stage, tandis qu’un hacker nord-coréen peut déjà avoir plusieurs années d’expérience à cet âge
    • Les équipes nord-coréennes obtiennent aussi de bons résultats dans diverses compétitions de programmation, ce qui montre qu’elles sont très capables de former une petite élite de talents IT
    • Certains trouvent surprenant qu’ils hackent avec des technologies modernes, mais il n’est pas difficile de sélectionner les bons profils ; si on leur offre la meilleure motivation et les meilleures conditions, il est au contraire tout à fait normal de produire des hackers très compétents

  • Le jeu de données divulgué lié à un opérateur appelé « Kim » montre concrètement à quoi ressemblent les opérations cyber nord-coréennes. Mais il est difficile de comprendre pourquoi ces hackers ont laissé autant de traces évidentes. Pourquoi laisser un tel fil d’Ariane menant jusqu’à Pyongyang au lieu de mettre en place des indices de diversion plus subtils ?

  • Cette affaire comporte de nombreux aspects techniquement intéressants. Une partie de l’infrastructure utilise des outils également employés par les pentesters et d’autres professionnels de la sécurité, ce qui montre qu’il n’existe pas vraiment d’« arme purement défensive ». Mais, à l’inverse, la discussion glisse facilement vers des critiques de la Corée du Nord ou de la Chine. Pour souligner cette double logique, il suffit de dire « Stuxnet » et « Pegasus »

  • Le lien avec la Chine (Option A/B) est peut-être un peu exagéré. Si des hackers nord-coréens opèrent depuis la Chine, cela peut simplement être lié à l’accès à Internet. La Corée du Nord n’ayant pas d’Internet public, ils peuvent être en Chine juste pour utiliser Internet, sans pour autant se faire passer pour des Chinois ni être pilotés par la Chine

  • C’est une analyse très détaillée du workflow APT. À ce niveau de détail, il existe un risque que des attaquants plus ordinaires essaient d’en reproduire les méthodes pour se hisser à ce niveau

    • La divulgation d’informations peut certes encourager des imitateurs, mais elle peut aussi fournir des éléments utiles à ceux qui doivent élaborer des stratégies défensives pour stopper ce type d’attaquants. En pratique, il est impossible d’empêcher qu’une seule partie détienne l’information