Résumé des Infiltrations des Hackers Nord-Coréens
Comment les hackers nord-coréens ont-ils infiltré des environnements cloud pour voler des cryptomonnaies ? Selon le rapport H2 2025 Cloud Threat Horizons de Google Cloud, l’équipe de Threat Intelligence de l’entreprise surveille UNC4899, un groupe de hackers lié à la Corée du Nord, accusé d’avoir violé deux organisations après avoir contacté des employés via des plateformes de médias sociaux.
« Actif depuis au moins 2020, UNC4899 cible principalement les industries de la cryptomonnaie et de la blockchain et a démontré une capacité sophistiquée à exécuter des compromissions complexes de la chaîne d’approvisionnement, » indique le rapport.
Ce dernier a noté qu’entre le T3 2024 et le T1 2025, la société de cybersécurité Mandiant a répondu à deux incidents distincts liés à UNC4899, affectant l’environnement Google Cloud d’une organisation et l’environnement AWS d’une autre. Bien que les étapes initiales et finales des intrusions partagent des tactiques communes, les méthodes utilisées pendant les phases intermédiaires variaient, reflétant probablement des différences dans les architectures système des victimes.
Stratégies d’Infiltration
Le rapport détaille en outre que, dans la phase initiale de ces attaques, les hackers ont établi un contact avec les victimes via des plateformes de médias sociaux, l’une par Telegram et l’autre par LinkedIn, se faisant passer pour des recruteurs de développement logiciel freelance. Les employés ciblés ont ensuite été dirigés, sans le savoir, à exécuter des conteneurs Docker malveillants sur leurs stations de travail.
Cette action a déclenché le déploiement de logiciels malveillants, y compris des téléchargeurs comme GLASSCANNON et des charges utiles secondaires telles que les portes dérobées PLOTTWIST et MAZEWIRE, permettant finalement aux attaquants de se connecter à leurs serveurs de commande et de contrôle (C2).
« Dans les deux cas, UNC4899 a mené plusieurs activités de reconnaissance interne sur les hôtes et les environnements connectés des victimes, avant d’obtenir des matériaux d’identification qu’ils ont utilisés pour pivoter vers les environnements cloud des victimes, » a noté le rapport.
Conséquences et Réponses
Les hackers nord-coréens ont de plus en plus compté sur de fausses offres d’emploi pour infiltrer des entreprises. En juillet, le Trésor américain a sanctionné Song Kum Hyok pour avoir prétendument dirigé un schéma qui plaçait des travailleurs informatiques nord-coréens déguisés dans des entreprises américaines afin de générer des revenus pour la République populaire démocratique de Corée (RPDC). Ces travailleurs, souvent basés en Chine ou en Russie, utilisaient de fausses identités et nationalités, les employeurs n’étant pas au courant de la tromperie.
Alors que les menaces mondiales poussent les plateformes de cryptomonnaies à renforcer leur sécurité, cela rappelle puissamment pourquoi des écosystèmes décentralisés et communautaires comme Shibarium sont importants. Contrairement aux configurations traditionnelles vulnérables aux exploits centralisés, l’infrastructure ouverte de Shibarium permet aux développeurs de construire avec transparence, résilience et confiance au cœur.
Plutôt que de s’appuyer sur un point de défaillance unique, Shibarium distribue le contrôle à travers un réseau de validateurs, de développeurs et de participants communautaires. Cette décentralisation rend non seulement plus difficile pour les acteurs malveillants, comme les groupes de hackers soutenus par l’État, de prendre pied, mais permet également une détection et une réponse plus rapides lorsque des vulnérabilités apparaissent.
Alors que l’espace crypto est confronté à des risques cybernétiques croissants, des écosystèmes comme Shibarium soulignent une voie différente à suivre, ancrée dans la décentralisation, la transparence et un engagement partagé à construire des outils qui servent, et non exploitent, les gens.
Menaces Actuelles
Les acteurs menaçants nord-coréens utilisent le malware NimDoor pour cibler les appareils Apple. Le groupe Lazarus de la Corée du Nord est lié à un nouveau vol de crypto de 3,2 millions de dollars. Les hackers nord-coréens volent des milliards de dollars en cryptomonnaies tout en se faisant passer pour des investisseurs en capital-risque.
