Exploitation des systèmes cloud par des hackers nord-coréens
Des groupes de hackers nord-coréens exploitent l’attrait du travail indépendant en informatique pour accéder aux systèmes cloud et dérober des cryptomonnaies d’une valeur de millions de dollars, selon des recherches menées par Google Cloud et la société de sécurité Wiz.
Rapport sur les menaces cloud
Le rapport « H2 2025 Cloud Threat Horizons » de Google Cloud révèle que le Google Threat Intelligence Group suit activement UNC4899, une unité de hackers nord-coréenne qui a réussi à pirater deux entreprises après avoir contacté des employés via les réseaux sociaux.
« Ils se font souvent passer pour des recruteurs, des journalistes, des experts en la matière ou des professeurs d’université lorsqu’ils contactent leurs cibles », a déclaré Jamie Collier, conseiller principal en renseignement sur les menaces pour l’Europe au Google Threat Intelligence Group.
Techniques de piratage
Dans les deux cas, UNC4899 a assigné des tâches aux employés, les incitant à exécuter des logiciels malveillants sur leurs stations de travail, ce qui a permis au groupe de hackers d’établir des connexions entre ses centres de commande et de contrôle et les systèmes cloud des entreprises ciblées. En conséquence, UNC4899 a pu explorer les environnements cloud des victimes, obtenir des informations d’identification et identifier des hôtes responsables du traitement des transactions en cryptomonnaies.
Bien que chaque incident ait ciblé différentes entreprises (non nommées) et différents services cloud (Google Cloud et AWS), les deux ont abouti au vol de plusieurs millions de dollars en cryptomonnaies.
Évolution des techniques de piratage
La société de sécurité cloud Wiz note que le groupe est également connu sous les noms de TraderTraitor, Jade Sleet et Slow Pisces. TraderTraitor représente un certain type d’activité de menace plutôt qu’un groupe spécifique, les entités soutenues par la Corée du Nord, telles que Lazarus Group, APT38, BlueNoroff et Stardust Chollima, étant toutes derrière des exploits typiques de TraderTraitor.
Dans son analyse d’UNC4899/TraderTraitor, Wiz note que les campagnes ont commencé en 2020 et qu’au départ, les groupes de hackers responsables utilisaient des leurres d’emploi pour inciter les employés à télécharger des applications malveillantes construites sur JavaScript et Node.js en utilisant le framework Electron.
Impact financier et futur des menaces
Ces groupes réalisent d’importants bénéfices, avec des estimations de 1,6 milliard de dollars en cryptomonnaies volées jusqu’à présent en 2025. Benjamin Read, directeur de l’intelligence stratégique sur les menaces chez Wiz, a déclaré :
« Nous croyons que TraderTraitor s’est concentré sur les exploits et techniques liés au cloud parce que c’est là que se trouvent les données, et donc l’argent. »
En fin de compte, cet investissement a permis à la Corée du Nord de devenir un leader dans le piratage de cryptomonnaies, représentant 35 % de tous les fonds volés l’année dernière. Les experts affirment que tous les signes disponibles suggèrent que le pays est susceptible de rester un acteur majeur dans le piratage lié à la cryptomonnaie pendant un certain temps.
« Les acteurs de la menace nord-coréenne sont une force dynamique et agile qui s’adapte continuellement pour répondre aux objectifs stratégiques et financiers du régime », a déclaré Collier de Google.
Collier a également expliqué que l’utilisation croissante de l’IA par les hackers permet un multiplicateur de force, intensifiant ainsi leurs exploits. « Nous ne voyons aucune preuve qu’ils ralentissent et anticipons que cette expansion se poursuivra », a-t-il conclu.
