Le groupe de hackers nord-coréen avait établi une entreprise fictive aux États-Unis ─ distribution de malware aux développeurs de cryptoactifs | CoinDesk JAPAN（コインデスク・ジャパン）

• Des hackers nord-coréens ont établi de fausses entreprises en Amérique pour cibler les développeurs de cryptoactifs, a révélé la société de sécurité Silent Push.
• Dans cette opération, le groupe Lazarus et les entreprises fictives associées « Blocknovas » et « Softglide » ont été créés.
• Le FBI a saisi le domaine de Blocknovas, utilisé pour distribuer des malware à travers des annonces d’emploi frauduleuses.

Des hackers nord-coréens se sont fait passer pour des entrepreneurs technologiques américains et ont secrètement établi des entreprises à New York et au Nouveau-Mexique. Cela fait partie d’une opération visant à cibler les développeurs de l’industrie des cryptoactifs, a annoncé la société de sécurité Silent Push le 24 avril.

Les deux entreprises, Blocknovas et Softglide, ont été établies en utilisant des identités et des adresses fictives. Cette opération est liée à un sous-groupe au sein du groupe Lazarus.

Le groupe de hackers Lazarus, soutenu par la Corée du Nord, a ciblé des individus et des entreprises peu méfiants au cours des dernières années, utilisant des techniques et des stratégies avancées pour voler des cryptoactifs d’une valeur de plusieurs milliards de dollars.

« C’est un exemple rare où des hackers nord-coréens ont effectivement établi une entreprise légale en Amérique et construit une entreprise de façade pour cibler des demandeurs d’emploi peu méfiants », a déclaré Kasey Best, directeur de l’intelligence des menaces chez Silent Push.

Les méthodes des Hackers sont habiles et efficaces. Ils attirent les développeurs de cryptoactifs à des entretiens avec de faux profils et offres d’emploi inspirés de LinkedIn, et pendant le processus de recrutement, ils les incitent à télécharger un malware déguisé en outil de recrutement.

Le Silent Push a souligné qu’il avait identifié plusieurs victimes de cette opération, en particulier de nombreuses victimes contactées via Blocknovas. Blocknovas était l’une des entreprises fictives les plus actives. Il a été révélé que l’adresse enregistrée de Blocknovas en Caroline du Sud était un terrain vacant, tandis que Softglide était enregistré auprès de l’administration fiscale de Buffalo, dans l’État de New York.

Le Silent Push a ajouté que les malwares utilisés dans la campagne contenaient au moins trois souches de virus associées aux cybertroupes de la Corée du Nord. Ces programmes volent des données, fournissent un accès à distance aux systèmes infectés et fonctionnent comme des voies d’intrusion pour des logiciels espions supplémentaires et des ransomwares.

Selon un rapport de Reuters, le Federal Bureau of Investigation (FBI) des États-Unis a saisi le domaine de Blocknovas. Un avis publié sur le site explique que ce domaine a été supprimé dans le cadre d’une action des forces de l’ordre car il a été utilisé par des cybercriminels nord-coréens pour tromper des individus avec des publications d’offres d’emploi falsifiées et distribuer des malware.