Votre nouvelle recrue travaille uniquement en distanciel et n’est pas du genre très causante? Méfiez-vous, il pourrait s’agir d’un pirate nord coréen en mission.
La tactique est connue de longue date. Profitant du développement massif du télétravail au cours des dernières années, de plus en plus de faux employés malveillants tentent d’intégrer des entreprises afin de mener des campagnes de cyberattaques.
Selon Google Threat Intelligence Group, les pirates nord coréens font partie des aficionados de cette technique depuis au moins 2022. Voire 2018 aux États Unis.
Chantage à la clef
Mais dans un nouveau post de blog, l’équipe de Google Threat Intelligence Group estime maintenant que cette approche est largement mise en œuvre à l’encontre de sociétés européennes.
Cette évolution pourrait être la conséquences des mises en accusations aux États-Unis de plusieurs faux employés nord coréens. Ils ont été identifiés suite à la prise de conscience des pouvoirs publics. En décembre 2024, la justice américaine avait accusé douze citoyens nord coréens d’avoir mis en œuvre ces tactiques contre des entreprises américaines.
Outre cette évolution vers les cibles européennes, la mise en lumière de ces opérations par les autorités américaines aurait poussé les auteurs de ce type d’attaque à changer leur comportement. « Depuis fin octobre 2024, les faux employés ont augmenté le volume des tentatives d’extorsion » assure Google. Et de citer les cas de chantage aux données volées. Certains de ces faux employés n’hésitent pas à menacer de dévoiler des codes sources ou des données propriétaires.
Infiltré multicartes
L’équipe de Google a identifié ce type d’activités dans plusieurs pays européens. Notamment en Grande Bretagne, en Allemagne et au Portugal. Dans un cas cité par le rapport, un agent nord coréen a ainsi opéré simultanément plus de 12 fausses identités pour se faire embaucher dans des entreprises aux États-Unis et en Europe.
Pour parvenir à se faire passer pour des employés légitimes, les agents nord coréens ont recours à un ensemble de « facilitateurs » comme les désigne Google.
Il s’agit de petites mains capables de fournir des services de paiement, des faux documents ou des guides afin de naviguer et de s’inscrire sur les sites de recrutement les plus populaires.
Les cryptos dans le viseur
Les agents ont recours à des services comme Freelancer, Telegram ou Upwork pour trouver des offres d’emplois. Il se font payer au travers de moyens permettant de dissimuler les destinataires réels des fonds, comme de la cryptomonnaie ou des services tels que Transferwise ou Payoneer.
Les secteurs principalement visés par ces opérations sont des cibles typiques visés par les réseaux nord coréens. On retrouve ainsi leur goût pour les projets blockchains.
Une stratégie qui semble encouragée par le régime en place afin de financer une partie de ses activités. Et contourner les sanctions imposées par la communauté internationale.