Recherche Proofpoint : les nouvelles tactiques du groupe TA427 pour alimenter le renseignement nord-coréen

0
147

Proofpoint, spécialiste dans les domaines de la cybersécurité et de la conformité, publie aujourd’hui de nouvelles informations sur les activités d’un des acteurs étatiques les plus actifs actuellement, TA427 (aussi connu sous les noms d’Emerald Sleet, APT43, THALLIUM ou Kimsuky), groupe affilié à la Corée du Nord et travaillant en soutien du Bureau Général de Reconnaissance (RGB).

Tribune – Au cours des 12 derniers mois, les chercheurs de Proofpoint ont observé plusieurs campagnes de phishing importantes du groupe qui sollicitait des experts en politique étrangère pour obtenir leur avis sur le désarmement nucléaire, les politiques américano-russes et les sanctions.

Volume des campagnes de phishing TA427 observées entre janvier 2023 et mars 2024 par Proofpoint (crédit photo : Proofpoint)

Si le groupe TA427 s’appuyait alors principalement sur des tactiques d’ingénierie sociale, depuis décembre 2023, il utilise de nouvelles tactiques, profitant des politiques laxistes des organisations en matière de protection des systèmes de messagerie et l’absence de protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) pour usurper l’identité de divers collaborateurs. En février 2024, le groupe a également commencé à placer des balises web pour le profilage de ses cibles.

Exemple de campagne TA427 utilisant une balise web (crédit photo : Proofpoint)

Derrière ces nouvelles tactiques, l’objectif du groupe est clair : enrichir le renseignement nord-coréen et fournir des informations cruciales à l’État pour renforcer les tactiques de négociation en matière de politique étrangère.

Selon les chercheurs de Proofpoint :

« TA427 est aujourd’hui l’un des acteurs les plus actifs dans le domaine des menaces étatique. Depuis plusieurs années, le groupe se fait passer pour des universitaires, journalistes ou encore des chercheurs nord-coréens afin d’entrer en contact avec d’autres experts et ainsi infiltrer les organisations en vue de collecter des renseignements stratégiques à long terme. Un travail d’influence et de soutirage d’information difficilement quantifiable. Le groupe ne montre d’ailleurs aucun signe de ralentissement ou de perte d’agilité pour adapter ses tactiques et mettre en place de nouvelles infrastructures ou nouveaux personnages. »

Vous trouverez l’intégralité de la recherche Proofpoint ici : https://www.proofpoint.com/us/blog/threat-insight/social-engineering-dmarc-abuse-ta427s-art-information-gathering

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.