Des acteurs malveillants liés à la République populaire démocratique de Corée (également appelée RPDC ou Corée du Nord) ont été observés en train d’utiliser des leurres de type ClickFix pour diffuser un malware connu appelé BeaverTail et InvisibleFerret.

« L’acteur de la menace a utilisé les leurres ClickFix pour cibler les rôles de marketing et de trading dans les organisations du secteur des cryptomonnaies et de la vente au détail plutôt que de cibler les rôles de développement de logiciels », a déclaré Oliver Smith, chercheur chez GitLab Threat Intelligence, dans un rapport publié la semaine dernière.

Dévoilés pour la première fois par Palo Alto Networks fin 2023, BeaverTail et InvisibleFerret ont été déployés par des agents nord-coréens dans le cadre d’une campagne de longue date baptisée Contagious Interview (aussi appelée Gwisin Gang), où le malware est distribué à des développeurs de logiciels sous prétexte d’une évaluation de poste. Considéré comme un sous-groupe du groupe Lazarus , ce groupe est actif depuis au moins décembre 2022.

Au fil des ans, BeaverTail a également été propagé via de faux paquets npm et des applications de visioconférence Windows frauduleuses comme FCCCall et FreeConference. Écrit en JavaScript, ce malware vole des informations et télécharge une porte dérobée Python appelée InvisibleFerret.

Une évolution importante de la campagne implique l’utilisation de la tactique d’ingénierie sociale ClickFix pour diffuser des logiciels malveillants tels que GolangGhost, PylangGhost et FlexibleFerret – un sous-groupe d’activités suivi sous le nom de ClickFake Interview .

La dernière vague d’attaque, observée fin mai 2025, mérite d’être soulignée pour deux raisons : l’utilisation de ClickFix pour livrer BeaverTail (plutôt que GolangGhost ou FlexibleFerret) et la livraison du voleur sous la forme d’un binaire compilé produit à l’aide d’outils comme pkg et PyInstaller pour les systèmes Windows, macOS et Linux.

Une fausse application Web de plateforme de recrutement créée à l’aide de Vercel sert de vecteur de distribution pour le logiciel malveillant, l’acteur de la menace faisant la publicité de postes de trader, de vente et de marketing de cryptomonnaie dans diverses organisations Web3, tout en incitant les cibles à investir dans une entreprise Web3.

« Le ciblage par l’acteur de la menace des candidats au marketing et l’usurpation de l’identité d’une organisation du secteur de la vente au détail sont remarquables étant donné l’attention habituelle des distributeurs de BeaverTail sur les développeurs de logiciels et le secteur des crypto-monnaies », a déclaré Smith.

Les utilisateurs qui atterrissent sur le site voient leurs adresses IP publiques capturées et sont invités à effectuer une évaluation vidéo d’eux-mêmes, à ce stade une fausse erreur technique concernant un problème de microphone inexistant s’affiche et il leur est demandé d’exécuter une commande spécifique au système d’exploitation pour soi-disant résoudre le problème, conduisant effectivement au déploiement d’une version allégée de BeaverTail soit au moyen d’un script shell ou d’un script Visual Basic.

« La variante BeaverTail associée à cette campagne contient une routine de vol d’informations simplifiée et cible moins d’extensions de navigateur », a déclaré GitLab. « Elle ne cible que huit extensions de navigateur, contre 22 pour les autres variantes contemporaines de BeaverTail. »

Une autre omission importante concerne la suppression des fonctions permettant de voler des données depuis des navigateurs web autres que Google Chrome. Il a également été découvert que la version Windows de BeaverTail s’appuyait sur une archive protégée par mot de passe fournie avec le logiciel malveillant pour charger les dépendances Python liées à InvisibleFerret.

Bien que les archives protégées par mot de passe soient une technique assez courante adoptée par divers acteurs de la menace depuis un certain temps, c’est la première fois que la méthode est utilisée pour la livraison de charges utiles en relation avec BeaverTail, ce qui indique que les acteurs de la menace affinent activement leurs chaînes d’attaque.

De plus, la faible prévalence des artefacts secondaires dans la nature et l’absence de finesse en matière d’ingénierie sociale suggèrent que la campagne a peut-être été un test limité et qu’il est peu probable qu’elle soit déployée à grande échelle.

« Cette campagne suggère un léger changement de stratégie pour un sous-groupe d’opérateurs nord-coréens de BeaverTail, qui vont au-delà de leur ciblage traditionnel de développeurs de logiciels pour se concentrer sur des rôles marketing et commerciaux dans les secteurs des cryptomonnaies et de la vente au détail », a déclaré GitLab. « L’adoption de variantes compilées de logiciels malveillants et le recours continu aux techniques ClickFix témoignent d’une adaptation opérationnelle visant à atteindre des cibles et des systèmes moins techniques, sans outils de développement logiciel standard installés. »

Cette évolution fait suite à une enquête conjointe de SentinelOne, SentinelLabs et Validin qui a révélé qu’au moins 230 personnes ont été ciblées par la campagne Contagious Interview dans le cadre de fausses attaques d’entretiens d’embauche en cryptomonnaie entre janvier et mars 2025 en se faisant passer pour des sociétés telles qu’Archblock, Robinhood et eToro.

Cette campagne consistait essentiellement à utiliser des thèmes ClickFix pour diffuser des applications Node.js malveillantes baptisées ContagiousDrop, conçues pour déployer des logiciels malveillants déguisés en mises à jour ou en utilitaires essentiels. La charge utile est adaptée au système d’exploitation et à l’architecture système de la victime. Elle est également capable de cataloguer les activités de la victime et de déclencher une alerte par e-mail lorsque la personne concernée lance la fausse évaluation de compétences.

« Cette activité […] impliquait que les acteurs de la menace examinaient les informations de cyber-menace (CTI) liées à leur infrastructure », ont noté les entreprises , ajoutant que les attaquants se sont engagés dans un effort coordonné pour évaluer la nouvelle infrastructure avant l’acquisition ainsi que pour surveiller les signes de détection de leur activité via Validin, VirusTotal et Maltrail.

Les informations recueillies à partir de ces efforts visent à améliorer la résilience et l’efficacité de leurs campagnes, ainsi qu’à déployer rapidement de nouvelles infrastructures après le démantèlement des fournisseurs de services, reflétant l’accent mis sur l’investissement de ressources pour soutenir leurs opérations plutôt que sur la mise en œuvre de vastes changements pour sécuriser leur infrastructure existante.

« Compte tenu du succès constant de leurs campagnes visant à engager des cibles, il pourrait être plus pragmatique et efficace pour les acteurs malveillants de déployer de nouvelles infrastructures plutôt que de maintenir les actifs existants », ont déclaré les chercheurs. « Des facteurs internes potentiels, tels que des structures de commandement décentralisées ou des contraintes de ressources opérationnelles, peuvent limiter leur capacité à mettre en œuvre rapidement des changements coordonnés. »

« Leur stratégie opérationnelle semble donner la priorité au remplacement rapide des infrastructures perdues en raison des efforts de démantèlement des fournisseurs de services, en utilisant les infrastructures nouvellement provisionnées pour soutenir leur activité. »

Les pirates informatiques nord-coréens ont une longue tradition de collecte de renseignements sur les menaces pour optimiser leurs opérations. Dès 2021, Google et Microsoft ont révélé que des pirates informatiques soutenus par Pyongyang ciblaient des chercheurs en sécurité travaillant sur la recherche et le développement de vulnérabilités, utilisant un réseau de faux blogs et de faux comptes de réseaux sociaux pour voler des exploits.

L’année dernière, SentinelOne a mis en garde contre une campagne menée par ScarCruft (alias APT37) ciblant les consommateurs de rapports de renseignements sur les menaces avec de faux rapports techniques comme leurres pour fournir RokRAT , une porte dérobée écrite sur mesure utilisée exclusivement par le groupe de menace nord-coréen.

Cependant, les récentes campagnes de ScarCruft ont connu une certaine rupture, prenant la mesure inhabituelle d’infecter des cibles avec un rançongiciel VCD personnalisé, ainsi qu’une boîte à outils évolutive comprenant les voleurs et les portes dérobées CHILLYCHINO (alias Rustonotto) et FadeStealer. Implant basé sur Rust, CHILLYCHINO est un nouvel ajout à l’arsenal de l’acteur malveillant depuis juin 2025. Il s’agit également du premier cas connu d’APT37 utilisant un malware basé sur Rust pour cibler les systèmes Windows.

FadeStealer, quant à lui, est un outil de surveillance identifié pour la première fois en 2023. Il est capable d’enregistrer les frappes au clavier, de capturer des captures d’écran et des fichiers audio, de surveiller les appareils et les supports amovibles, et d’exfiltrer des données via des archives RAR protégées par mot de passe. Il utilise le protocole HTTP POST et le codage Base64 pour communiquer avec son serveur de commande et de contrôle (C2).

La chaîne d’attaque, selon Zscaler ThreatLabz , consiste à utiliser des messages de spear-phishing pour distribuer des archives ZIP contenant des raccourcis Windows (LNK) ou des fichiers d’aide (CHM) qui déposent CHILLYCHINO ou son homologue PowerShell connu Chinotto, qui contacte ensuite le serveur C2 pour récupérer une charge utile de prochaine étape responsable du lancement de FadeStealer.

« La découverte d’un rançongiciel marque une évolution significative, passant d’opérations d’espionnage pur à des activités à motivation financière et potentiellement destructrices », a déclaré S2W. « Cette évolution met en évidence non seulement une diversification fonctionnelle, mais aussi un réalignement stratégique plus large des objectifs du groupe. »

Nouvelles campagnes Kimsuky dévoilées#

Ces conclusions surviennent également alors que le groupe de pirates Kimsuky (alias APT43) , allié à la Corée du Nord – qui aurait subi une violation , exposant probablement les tactiques et les outils d’un acteur basé en Chine travaillant pour le Royaume Ermite (ou celui d’un opérateur chinois imitant son savoir-faire) – a été attribué à deux campagnes différentes, dont l’une implique l’abus des référentiels GitHub pour la livraison de logiciels malveillants voleurs et l’exfiltration de données.

« L’attaquant a exploité un fichier LNK malveillant [présent dans des archives ZIP] pour télécharger et exécuter des scripts PowerShell supplémentaires depuis un dépôt GitHub », a déclaré S2W. « Pour accéder au dépôt, l’attaquant a intégré un jeton privé GitHub codé en dur directement dans le script. »

Le script PowerShell récupéré depuis le dépôt est doté de fonctionnalités permettant de collecter les métadonnées système, notamment l’heure du dernier démarrage, la configuration système et les processus en cours d’exécution ; d’enregistrer ces informations dans un fichier journal ; et de les transférer vers le dépôt contrôlé par l’attaquant. Il télécharge également un document leurre pour éviter d’éveiller les soupçons.

Étant donné l’utilisation d’infrastructures de confiance à des fins malveillantes, il est conseillé aux utilisateurs de surveiller le trafic vers api.github.com et la création de tâches planifiées suspectes, indiquant une persistance.

La deuxième campagne liée à Kimsuky concerne l’utilisation abusive du ChatGPT d’OpenAI pour falsifier des cartes d’identité militaires dans le cadre d’une campagne de spear-phishing contre des entités sud-coréennes affiliées à la défense et d’autres individus axés sur les affaires nord-coréennes, tels que des chercheurs, des militants des droits de l’homme et des journalistes.

Des e-mails de phishing utilisant le leurre deepfake d’identification militaire ont été observés le 17 juillet 2025, à la suite d’une série de campagnes de phishing basées sur ClickFix entre le 12 et le 18 juin, ouvrant la voie à des logiciels malveillants facilitant le vol de données et le contrôle à distance.

Il a été découvert que la chaîne d’infection à plusieurs étapes utilisait des pages de vérification CAPTCHA de type ClickFix pour déployer un script AutoIt qui se connecte à un serveur externe pour exécuter des commandes de fichiers batch émises par l’attaquant, a déclaré la société de cybersécurité sud-coréenne Genians dans un rapport publié la semaine dernière.

Alternativement, la vague d’attaques récentes s’est également appuyée sur de faux messages électroniques pour rediriger les utilisateurs sans méfiance vers des pages de collecte d’informations d’identification ainsi que sur l’envoi de messages contenant des liens piégés qui, une fois cliqués, téléchargent une archive ZIP contenant un fichier LNK, qui, à son tour, exécute une commande PowerShell pour télécharger des images synthétiques créées à l’aide de ChatGPT et d’un script batch qui exécute finalement le même script AutoIt dans un fichier d’archive CAB.

« Il s’agit d’une attaque APT se faisant passer pour une institution sud-coréenne liée à la défense, déguisée en administration de cartes d’identité pour des responsables militaires », a déclaré Genians. « Il s’agit d’un cas réel illustrant l’utilisation de la technologie deepfake par le groupe Kimsuky. »