Des hackers nord-coréens ciblent la crypto avec de fausses entreprises et des offres d'emploi

Les chercheurs de la société de cybersécurité Silent Push ont découvert une campagne sophistiquée menée par le groupe de menace persistante avancée (APT) nord-coréen connu sous le nom de Contagious Interview (alias « Famous Chollima »), un sous-groupe au sein du tristement célèbre Lazarus Group.

Cette opération impliquait la création de fausses entreprises de cryptomonnaie aux États-Unis et l’utilisation de tactiques d’entretien d’embauche trompeuses pour distribuer des logiciels malveillants et infiltrer des organisations.

Principales conclusions

Selon Silent Push, les hackers ont établi trois entreprises de cryptomonnaie de façade — BlockNovas LLC au Nouveau-Mexique, Angeloper Agency, et SoftGlide LLC à New York, en utilisant de fausses identités et adresses. Angeloper Agency reste non enregistrée aux États-Unis.

« Dans cette nouvelle campagne, le groupe d’acteurs de menace utilise trois entreprises de façade dans l’industrie du conseil en cryptomonnaie — BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com), et SoftGlide LLC (softglide[.]co) — pour répandre des logiciels malveillants via des ‘leurres d’entretien d’embauche’, » a déclaré Silent Push dans un article de blog détaillé.

Ces entités, se faisant passer pour des entreprises de conseil en cryptomonnaie légitimes, ont été créées pour attirer des chercheurs d’emploi en cryptomonnaie sans méfiance à télécharger des logiciels malveillants, compromettant des portefeuilles crypto et volant des identifiants.

En plus des fausses entreprises, les candidats à l’emploi ont été ciblés à travers des annonces d’emploi contrefaites et des profils de style LinkedIn, au cours desquels ils ont été trompés en téléchargeant des fichiers chargés de logiciels malveillants déguisés en documents de candidature ou d’intégration.

Les trois souches de logiciels malveillants identifiées dans cette campagne sont BeaverTail, InvisibleFerret, et OtterCookie, qui étaient auparavant liées à des unités cybernétiques nord-coréennes. Ces programmes pouvaient voler des données, fournir un accès arrière aux systèmes infectés, et servir de points d’entrée pour des attaques ultérieures utilisant des logiciels espions ou des ransomwares.

Selon Silent Push, Blocknovas, la plus active des trois entreprises de façade, a été saisie par le Federal Bureau of Investigation (FBI) des États-Unis le 23 avril 2025. L’avis affiché sur le site indique que le site a été fermé « dans le cadre d’une action des forces de l’ordre contre des acteurs cybernétiques nord-coréens qui ont utilisé ce domaine pour tromper des individus avec de fausses annonces d’emploi et distribuer des logiciels malveillants. »

En plus d’utiliser des services comme Astrill VPN et des proxys résidentiels pour obscurcir leur infrastructure et leurs activités, la campagne Contagious Interview a également utilisé des outils d’IA, tels que « Remaker AI » (remaker[.]ai), pour créer des profils convaincants de faux employés pour les trois entreprises de crypto de façade afin d’améliorer la crédibilité de ces entreprises frauduleuses.

Enfin, dans le cadre des attaques crypto, la campagne a fortement utilisé des plateformes comme GitHub, des sites d’annonces d’emploi, et des sites de freelances pour atteindre des victimes potentielles et distribuer des logiciels malveillants.

Implications et recommandations

Alors que les menaces cybernétiques nord-coréennes continuent d’évoluer, les organisations, en particulier dans le secteur de la cryptomonnaie, cette campagne souligne la nécessité d’une vigilance accrue dans les pratiques de cybersécurité, surtout dans le secteur de la cryptomonnaie et lors du processus de recrutement.

Pour se protéger contre ces attaques sophistiquées, les organisations devraient mettre en œuvre des processus de vérification stricts pour les candidats à l’emploi, y compris la réalisation d’entretiens en personne ou par vidéo et des vérifications d’antécédents approfondies, et éduquer les employés sur les risques des offres d’emploi et des entretiens non sollicités.

Pour une analyse détaillée de cette campagne, vous pouvez consulter le rapport complet de Silent Push : Contagious Interview Front Companies.