Des chercheurs en sécurité ont lié une nouvelle campagne de cyberespionnage ciblant les fournisseurs d’énergie américains, canadiens et japonais au groupe de piratage Lazarus parrainé par l’État nord-coréen.

Société de renseignement sur les menaces Cisco Talos dit jeudi qu’il a observé Lazare – également connu sous le nom d’APT38 – ciblant des fournisseurs d’énergie anonymes aux États-Unis, au Canada et au Japon entre février et juillet de cette année. Selon les recherches de Cisco, les pirates ont utilisé une vulnérabilité vieille d’un an dans Log4jconnu comme Log4Shell, pour compromettre les serveurs VMware Horizon exposés à Internet afin d’établir un pied initial sur le réseau d’entreprise d’une victime, avant de déployer des logiciels malveillants sur mesure connus sous le nom de « VSingle » et « YamaBot » pour établir un accès persistant à long terme. YamaBot a été récemment attribué au Lazarus APT par l’équipe nationale d’intervention d’urgence cybernétique du Japon, connue sous le nom de CERT.

Les détails de cette campagne d’espionnage ont été révélé pour la première fois par Symantec en avril de cette année, qui a attribué l’opération à « Stonefly », un autre groupe de piratage nord-coréen qui a des chevauchements avec Lazarus.

Cependant, Cisco Talos a également observé un cheval de Troie d’accès à distance jusque-là inconnu — ou RAT – nommé « MagicRAT », attribué au groupe Lazarus, que les pirates utilisent pour la reconnaissance et le vol d’informations d’identification.

« L’objectif principal de ces attaques était probablement d’établir un accès à long terme aux réseaux de victimes pour mener des opérations d’espionnage à l’appui des objectifs du gouvernement nord-coréen », ont écrit les chercheurs de Talos Jung soo An, Asheer Malhotra et Vitor Ventura. « Cette activité s’aligne sur les intrusions historiques de Lazarus ciblant les infrastructures critiques et les sociétés énergétiques pour établir un accès à long terme pour siphonner la propriété intellectuelle exclusive. »

Le groupe Lazarus est un groupe de piratage financièrement motivé soutenu par l’État nord-coréen qui est surtout connu pour le piratage très médiatisé de Sony en 2016 et le Vouloir pleurer attaque de ransomware en 2017. Lazarus est également motivé par les efforts visant à soutenir les objectifs de l’État nord-coréen, notamment la recherche et le développement militaires et le contournement des sanctions internationales.

Cependant, le groupe a ces derniers mois tourné son attention vers les organisations de blockchain et de crypto-monnaie. Il a été lié au vol récent de 100 millions de dollars d’actifs cryptographiques de Harmony’s Horizon Bridge, et le vol de 625 millions de dollars en crypto-monnaie du réseau Ronin, une sidechain basée sur Ethereum conçue pour le populaire jeu play-to-earn Axie Infinity.

Pyongyang a utilisé depuis longtemps crypto-monnaie volée et le vol d’autres informations pour financer son programme d’armes nucléaires.

En juillet, le gouvernement américain a offert une récompense de 10 millions de dollars pour des informations sur les membres des groupes de menace nord-coréens parrainés par l’État, y compris Lazarus, doublant le montant annoncé par le département d’État américain en avril.