Le groupe de pirates Lazarus, affilié à la Corée du Nord, mène une campagne ravageuse contre son voisin sud-coréen. Des chercheurs en cybersécurité ont identifié l'opération, baptisée « SyncHole », qui combine attaques par point d'eau et exploitation de failles.

La Corée du Nord continue d'attaquer son voisin sur le plan cyber. © Fotogrin / Shutterstock
La Corée du Nord continue d'attaquer son voisin sur le plan cyber. © Fotogrin / Shutterstock

Comme un cambrioleur qui connaîtrait parfaitement les défauts de votre serrure, le célèbre groupe de hackers Lazarus a encore frappé. Cette fois, c'est l'écosystème numérique sud-coréen qui en fait les frais avec une attaque particulièrement sophistiquée. Dévoilée ce 24 jeudi avril par l'équipe de recherche de Kaspersky, l'opération « SyncHole » a déjà ciblé au moins six organisations dans des secteurs stratégiques comme les semi-conducteurs et la finance. Et elle est redoutable.

Quand le pirate connaît mieux votre système que vous-même

Cette campagne de cyberattaques, suivie depuis novembre, témoigne d'une connaissance approfondie de l'environnement numérique sud-coréen. Les chercheurs de Kaspersky ont découvert que Lazarus exploitait une vulnérabilité dans Cross EX, un logiciel qui permet d'utiliser des outils de sécurité dans différents navigateurs, obligatoire pour certaines démarches administratives en Corée du Sud.

La méthode des cybercriminels est aussi ingénieuse que redoutable. Le groupe utilise d'abord une technique dite de « watering hole » (point d'eau), c'est-à-dire qu'ils compromettent des sites médias fréquentés par leurs cibles potentielles. Lorsqu'un visiteur intéressant s'y connecte, il est secrètement redirigé vers un site malveillant qui, lui, exploite les failles de son système.

Exemple de page de redirection exploitée pendant l’attaque menée par le groupe Lazarus. © Kaspersky
Exemple de page de redirection exploitée pendant l’attaque menée par le groupe Lazarus. © Kaspersky

Une fois infiltré, le logiciel malveillant se loge dans la mémoire d'un processus légitime appelé SyncHost.exe, qui devient pratiquement invisible aux yeux des outils de sécurité traditionnels. Ce n'est que le début d'une opération en plusieurs phases qui permet aux attaquants de s'étendre dans les réseaux internes de l'organisation touchée.

Voici le schéma de la chaîne d’attaque lors de la compromission initiale © Kaspersky

Les vulnérabilités zero-day au cœur de la stratégie de Lazarus

Les chercheurs ont identifié deux vulnérabilités dans Innorix Agent, un outil largement utilisé en Corée du Sud pour les transferts de fichiers sécurisés. La première faille, dite one-day, a été activement exploitée pour réaliser des « mouvements latéraux » entre machines. La seconde, une vulnérabilité zero-day (identifiée KVE-2025-0014), a été découverte avant son exploitation.

On rappelle, pour expliquer les choses très simplement, qu'une faille zero day est inconnue des éditeurs de cybersécurité, alors qu'une vulnérabilité one day est déjà connue, et corrigée.

Avec une précision chirurgicale, le groupe Lazarus déploie plusieurs malwares sophistiqués comme ThreatNeedle, SIGNBT ou COPPERHEDGE. Ces outils ont évolué au fil du temps, en incorporant des techniques de chiffrement avancées (Curve25519, ChaCha20) pour échapper à la détection. Lorsque Kaspersky a commencé à détecter la première vague d'attaques, Lazarus a rapidement pivoté vers de nouvelles méthodes.

Du coup, les experts ont immédiatement alerté l'Agence coréenne de sécurité informatique (KrCERT) et les fournisseurs concernés. Les logiciels vulnérables ont depuis reçu un correctif, mais le nombre réel de victimes pourrait être bien plus élevé que les six organisations confirmées. Cette campagne orchestrée par un groupe actif depuis 15 ans démontre en tout cas l'importance cruciale d'une surveillance proactive des systèmes.