Les médias et les experts de haut niveau des affaires nord-coréennes ont été les victimes d’une nouvelle campagne orchestrée par un acteur menaçant connu sous le nom de CicatriceCruft en décembre 2023.
« ScarCruft a expérimenté de nouvelles chaînes d’infection, y compris l’utilisation d’un rapport de recherche technique sur les menaces comme leurre, ciblant probablement les consommateurs de renseignements sur les menaces comme les professionnels de la cybersécurité », ont déclaré Aleksandar Milenkoski et Tom Hegel, chercheurs de SentinelOne. dit dans un rapport partagé avec The Hacker News.
L’adversaire lié à la Corée du Nord, également connu sous le nom d’APT37, InkySquid, RedEyes, Ricochet Chollima et Ruby Sleet, est considéré comme faisant partie du ministère de la Sécurité d’État (MSS), ce qui le distingue du groupe Lazarus et de Kimsuky, qui sont des éléments au sein du Bureau Général de Reconnaissance (RGB).
Le groupe est connu pour son ciblage des gouvernements et des transfuges, en tirant parti des leurres de spear phishing pour fournir RokRAT et d’autres portes dérobées dans le but ultime de collecte de renseignements secrète dans la poursuite des intérêts stratégiques de la Corée du Nord.
En août 2023, ScarCruft a été lié à une attaque contre la société russe d’ingénierie de missiles NPO Mashinostroyeniya aux côtés du groupe Lazarus dans ce qui a été considéré comme une « mission d’espionnage stratégique hautement souhaitable » conçue pour profiter à son programme de missiles controversé.
Plus tôt cette semaine, les médias d’État nord-coréens signalé que le pays avait effectué un test de son « système d’armes nucléaires sous-marines » en réponse aux exercices menés par les États-Unis, la Corée du Sud et le Japon, décrivant ces exercices comme une menace pour sa sécurité nationale.
La dernière chaîne d’attaques observée par SentinelOne a ciblé un expert des affaires nord-coréennes en se faisant passer pour un membre de l’Institut de recherche de Corée du Nord, exhortant le destinataire à ouvrir un fichier d’archive ZIP contenant des documents de présentation.
Bien que sept des neuf fichiers de l’archive soient inoffensifs, deux d’entre eux sont des fichiers de raccourci Windows (LNK) malveillants, reflétant une séquence d’infection en plusieurs étapes précédemment divulguée par Check Point en mai 2023 pour distribuer la porte dérobée RokRAT.
Il existe des preuves suggérant que certaines des personnes ciblées vers le 13 décembre 2023 avaient également été ciblées un mois auparavant, le 16 novembre 2023.
SentinelOne a déclaré que son enquête a également découvert des logiciels malveillants – deux fichiers LNK (« inteligence.lnk » et « news.lnk ») ainsi que des variantes de shellcode fournissant RokRAT – qui feraient partie des processus de planification et de test de l’acteur malveillant.
Alors que l’ancien fichier de raccourci ouvre simplement l’application Notepad légitime, le shellcode exécuté via news.lnk ouvre la voie au déploiement de RokRAT, bien que cette procédure d’infection n’ait pas encore été observée dans la nature, ce qui indique son utilisation probable pour de futures campagnes.
Cette évolution est le signe que l’équipe de piratage informatique des États-nations peaufine activement son mode opératoire, probablement dans le but de contourner la détection en réponse à la divulgation publique de ses tactiques et techniques.
« ScarCruft reste déterminé à acquérir des renseignements stratégiques et a peut-être l’intention d’acquérir des connaissances sur les stratégies de défense et de renseignement non publiques sur les cybermenaces », ont déclaré les chercheurs.
«Cela permet à l’adversaire de mieux comprendre comment la communauté internationale perçoit les développements en Corée du Nord, contribuant ainsi aux processus décisionnels de la Corée du Nord.»