Des pirates nord-coréens ciblent les sociétés de cryptographie avec le malware

Les pirates nord-coréens ont déployé une nouvelle variante de malware appelée « Durian » pour attaquer les sociétés sud-coréennes de crypto-monnaie.

Selon un rapport de menace du 9 mai de la société de cybersécurité Kaspersky, le groupe de piratage nord-coréen Kimsuky a utilisé ce malware dans des attaques ciblées contre au moins deux sociétés de cryptomonnaie.

Les attaques ont été menées en exploitant un logiciel de sécurité légitime utilisé exclusivement par des sociétés de cryptographie sud-coréennes. Le malware Durian, jusqu'alors non divulgué, sert d'installateur et déploie un flux constant de logiciels espions, notamment une porte dérobée appelée « AppleSeed », un outil proxy sur mesure appelé LazyLoad et d'autres programmes authentiques comme Chrome Remote Desktop.

"Durian dispose d'une fonctionnalité complète de porte dérobée, permettant l'exécution de commandes délivrées, le téléchargement de fichiers supplémentaires et l'exfiltration de fichiers", a déclaré Kaspersky.

En outre, la société de cybersécurité a découvert que LazyLoad était également utilisé par Andariel, une sous-organisation du groupe Lazarus, un autre consortium de piratage nord-coréen, ce qui implique un lien « ténu » entre Kimsuky et l’organisation de piratage la plus tristement célèbre.

Ayant fait surface pour la première fois en 2009, Lazarus est devenu l’un des groupes de hackers de cryptomonnaie les plus notoires.

Le 29 avril, ZachXBT, un enquêteur indépendant sur la blockchain, a rapporté que l'entreprise Lazarus avait réussi à blanchir plus de 200 millions de dollars de cryptomonnaies mal acquises entre 2020 et 2023.

En mai, le Conseil de sécurité des Nations Unies a publié un rapport indiquant l'implication croissante de la Corée du Nord dans les cyberattaques, qui représentent désormais près de la moitié de ses recettes en devises. Bien que les enquêtes soient toujours en cours, le groupe Lazarus est soupçonné d’avoir volé plus de 3 milliards de dollars d’actifs en cryptomonnaies sur une période de six ans, culminant en 2023.

Lazarus a été accusé d'avoir volé plus de 17 % – soit un peu plus de 300 millions de dollars – de tous les fonds volés en 2023. Selon une analyse d'Immunefi publiée le 28 décembre, plus de 1,8 milliard de dollars en cryptomonnaie ont été perdus en raison d'attaques et d'exploits en 2023.

Il a été rapporté que le groupe notoire Lazarus utilisait largement des mélangeurs de crypto-monnaie dans ses opérations afin de masquer l'origine des fonds volés. Alors que les inquiétudes concernant le blanchiment via les protocoles de confidentialité persistent, Railgun, un protocole populaire, a réfuté les allégations selon lesquelles il aurait été utilisé par des pirates informatiques nord-coréens ou des individus sanctionnés.

Ces allégations ont été révélées à la suite d'une déclaration du FBI de janvier 2023 suggérant que le groupe nord-coréen Lazarus avait blanchi plus de 60 millions de dollars en Ethereum via Railgun après une cyberattaque en juin 2022.

Suite aux sanctions américaines contre le populaire mélangeur de crypto Tornado Cash, des spéculations ont été émises selon lesquelles Railgun deviendrait une alternative privilégiée pour de telles opérations.

Tags: analyse, cryptographie