Des espions nord-coréens infiltrent des entreprises européennes sous de fausses identités d'informaticiens. Selon Google Threat Intelligence, c'est ainsi qu'ils parviennent à contourner les restrictions américaines et à générer des revenus pour le régime. Ils pratiquent également l'extorsion d'employeurs en les menaçant de divulguer des données sensibles.
Google Threat Intelligence se fâche et prévient d'une augmentation des infiltrations d'espions nord-coréens dans des entreprises européennes. Ils se font passer pour des informaticiens qualifiés et accèdent à des systèmes sensibles, en s'engouffrant dans des failles des processus de recrutement à distance.
L'alerte prend tout son sens lorsque l'on sait qu'ils se rabattent sur l'Europe après que les États-Unis ont bétonné leurs contrôles et leur ait ainsi barré l'accès à ses plus grandes entreprises. En plus de l'espionnage, ces agents pratiquent l'extorsion en menaçant de divulguer des informations confidentielles lorsqu'ils sont démasqués ou licenciés. Les entreprises ciblées recrutent souvent ces faux professionnels via des plateformes en ligne et procèdent à des paiements en cryptomonnaie pour compliquer leur identification. L'utilisation d'environnements virtualisés et de politiques BYOD (Bring Your Own Device) facilite encore leur activité.
Des espions nord-coréens se font recruter comme informaticiens en Europe pour contourner les sanctions et extorquer des entreprises
Depuis plusieurs mois, des agents nord-coréens parviennent à infiltrer des entreprises européennes en se faisant passer pour des informaticiens. Google Threat Intelligence alerte sur la recrudescence de ces recrutements frauduleux, qui leur permettent d’accéder à des systèmes sensibles tout en contournant les restrictions imposées par les États-Unis. Les entreprises concernées embauchent ces faux experts via des plateformes de travail en ligne et effectuent les paiements en cryptomonnaies, ce qui rend leur traçabilité plus complexe. Certains de ces individus ne se contentent pas de collecter des informations : lorsqu’ils sont démasqués ou licenciés, ils menacent de divulguer des données confidentielles pour obtenir des paiements supplémentaires.
« That escalated quickly », comme dirait Ron Burgundy, en voyant les proportions importantes que le phénomène a pris dès la fin 2024. Une période marquée par un renforcement des contrôles aux États-Unis sur les travailleurs indépendants en lien avec la Corée du Nord. Sentant le vent du boulet, les espions ont déplacé leurs activités vers l’Europe, où les vérifications d’identité sont moins systématiques dans certains secteurs. Google Threat Intelligence a identifié plusieurs cas de travailleurs utilisant de fausses identités pour décrocher des contrats dans des domaines sensibles comme la cybersécurité, le développement logiciel et la blockchain. Certains d’entre eux gèrent simultanément plusieurs profils sous des noms différents. Un informaticien en particulier aurait utilisé douze identités distinctes, réparties entre l’Europe et les États-Unis, pour multiplier les contrats et brouiller les pistes.
Les pays les plus touchés par ces infiltrations incluent l’Allemagne, le Portugal et le Royaume-Uni. Dans plusieurs cas, ces faux informaticiens ont participé à des projets impliquant des technologies avancées comme Next.js, React, Golang et la blockchain. Ils parviennent à intégrer des entreprises en postulant sur des plateformes de travail à distance comme Upwork, Telegram et Freelancer. Le paiement en cryptomonnaie, via des services comme Payoneer, complique encore leur détection, car ces transactions n’ont pas toujours d’empreinte bancaire exploitable.
Des documents récupérés montrent que ces travailleurs utilisent parfois des intermédiaires pour contourner les procédures de vérification d’identité. Certains disposent de faux papiers établis en Serbie ou en Slovaquie. D’autres vont encore plus loin en simulant une présence physique dans un pays occidental. Un cas documenté révèle qu’un ordinateur censé être utilisé à New York était en réalité actif à Londres. Clairement, on n'a pas affaire à des lapins de six semaines.
Des espions qui ne se contentent plus de voler des données mais menacent directement les entreprises qui les emploient
L’infiltration de ces agents nord-coréens ne se limite pas à l’accès aux infrastructures informatiques des entreprises qui les recrutent. Certains d’entre eux ont recours au chantage lorsqu’ils soupçonnent que leur couverture est compromise ou lorsqu’ils sont sur le point d’être licenciés. Ils menacent alors de publier des données sensibles si une compensation financière ne leur est pas versée.
Google Threat Intelligence signale que ces pratiques se sont intensifiées depuis octobre 2024, période qui coïncide avec le durcissement des sanctions américaines contre les travailleurs informatiques liés à la Corée du Nord. Sous pression pour maintenir leurs sources de revenus, ces agents exploitent les failles de leurs anciens employeurs pour les contraindre à leur verser des sommes d’argent. Certains n’hésitent pas à usurper de nouvelles identités et à postuler à nouveau dans les mêmes entreprises, en utilisant des références falsifiées. D’autres misent sur les informations qu’ils ont déjà collectées pour exiger un paiement en échange du silence.
Ces extorsions concernent aussi bien des start-ups que de grandes entreprises technologiques. Les données menacées de divulgation peuvent inclure du code source, des fichiers confidentiels ou des documents internes liés à des stratégies commerciales. Dans certains cas, les entreprises ciblées choisissent de verser la somme demandée pour éviter une fuite qui pourrait leur porter préjudice.
La difficulté pour identifier ces travailleurs avant qu’un incident ne survienne est amplifiée par l’utilisation d’environnements virtualisés et de politiques BYOD (Bring Your Own Device). De nombreuses entreprises autorisent désormais leurs employés à utiliser leur propre matériel pour le travail, ce qui complique la surveillance des activités. Contrairement aux ordinateurs fournis par l’entreprise, ces appareils personnels échappent souvent aux contrôles de sécurité classiques. Lorsqu’un espion nord-coréen est identifié, il est parfois déjà trop tard : les données ont été exfiltrées et l’entreprise se retrouve face à un risque de divulgation ou de cyberattaque.
Loin de se limiter aux entreprises du secteur privé, ces infiltrations touchent également des institutions publiques et des entreprises du secteur de la défense en Europe. On comprend mieux l'affolement de Google.
11 février 2025 à 09h41
Source : Google
