Microsoft a annoncé avoir découvert un groupe de pirates nord-coréens appelé Sapphire Sleet qui escroquait de l’argent en se faisant passer pour des recruteurs et des demandeurs d’emploi avec de faux profils LinkedIn. Le groupe est actif depuis au moins 2020 et serait lié à d’autres groupes de pirates nord-coréens, dont APT38 et Bluenoroff .
Les membres de Sapphire Sleet se faisaient passer pour des investisseurs en capital-risque, approchaient les entreprises ciblées en prétendant les intéresser et leur proposaient des réunions en ligne. Lors de la connexion à la réunion, ils affichaient un message d’erreur invitant à contacter le service d’assistance.
Faux profils GitHub et LinkedIn
Lorsque les victimes contactaient le soi-disant service, elles recevaient un fichier script Applescript ou Visual Basic contenant un logiciel malveillant. Le malware infectait les systèmes Windows et Mac, dérobant les informations d’identification pour permettre aux pirates d’accéder aux portefeuilles de cryptomonnaies.
Par le passé, des informaticiens nord-coréens ont été repérés en train de créer de faux profils et portefeuilles sur des plateformes telles que GitHub et LinkedIn et de postuler à des emplois.
Ils ont utilisé des outils d’intelligence artificielle (IA) pour modifier leurs photos de profil, leurs documents et leurs voix afin de postuler à des emplois sans contact dans des entreprises technologiques nord-américaines. Alors qu’ils travaillaient en tant qu’employés, ils ont volé des informations confidentielles à des entreprises informatiques et les ont utilisées pour commettre des escroqueries et des piratages.
« Les activités organisées de la Corée du Nord vont au-delà du vol de cryptomonnaies pour exploiter l’ensemble de l’infrastructure informatique, et le potentiel d’impacts négatifs sur l’ensemble de l’écosystème informatique mondial exige que les pays soient parfaitement préparés », avertit Microsoft.