Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)