Les chercheurs de Proofpoint, société leader en cybersécurité et conformité, ont publié les dernières activités du groupe TA444, un acteur de la menace affilié à la Corée du Nord, lié notamment à d’autres activités publiques telles que APT38, Stardust Chollima et COPERNICIUM. Courant 2022, ce dernier a escroqué de nombreuse victimes récoltant l’équivalent de plus d’un milliard de dollars en cryptomonnaies.
Les recherches révèlent que :
- TA444 cible les crypto-monnaies depuis au moins 2017 mais sa restructuration récente le positionne comme arriviste en 2022, le groupe ayant testé de nombreuses méthodes d’infection, avec plus ou moins de succès
- Ses principales opérations sont motivées par des raisons financières et leurs chaînes d’infection représentent une infime partie des menaces cyber, faisant du groupe une licorne au sein des acteurs affiliée à l’Etat nord-coréen.
- Le groupe diffuse des logiciels malveillants via des campagnes d’e-mails qui utilisent des leurres s’apparentant à la technologie blockchain, de fausses offres d’emploi dans des entreprises prestigieuses ou des prétendus ajustements de salaires pour inciter les victimes à ouvrir les e-mails frauduleux.
Greg Lesnewich, Senior Threat Researcher chez Proofpoint, a commenté :
« TA444 est le fer de lance de la Corée du Nord, son esprit start-up et son intérêt pour les crypto-monnaies lui permet de générer des liquidités conséquentes alimentant les fonds de blanchiment du régime nord-coréen. Sa capacité d’adaptation lui permet d’imaginer rapidement de nouvelles méthodes d’attaques et ils n’hésitent pas à inclure les réseaux sociaux dans son mode opératoire. En 2022, ils ont intensifié leurs activités dans les cryptomonnaie et à l’instar de l’écosystème cybercriminel, ils ont testé de nombreuses chaînes d’infection afin d’augmenter leur flux de revenus. »
L’intégralité de la recherche est disponible sur le site de Proofpoint : https://www.proofpoint.com/us/blog/threat-insight/ta444-apt-startup-aimed-at-your-funds