Getty Images/iStockphoto

Les faux professionnels de l’IT de Pyongyang

Le régime nord-coréen utilise des sociétés-écrans dans plusieurs régions du monde pour faire embaucher ses propres travailleurs IT par des entreprises occidentales. Leurs revenus viennent alimenter les caisses du régime.

Dans le creux de l’été 2024, KnowBe4 partageait les résultats d’une enquête interne ayant montré que l’entreprise avait embauché, à son insu, un agent nord-coréen. 

Il avait rejoint les rangs de l’entreprise comme ingénieur principal en sécurité pour son équipe interne dédiée à l’intelligence artificielle. Rapidement des activités suspectes sur son poste de travail l’avaient trahi.

Le phénomène n’est pas isolé et la menace apparaît plus large. Fin septembre dernier, Mandiant revenait sur son étendue et sa persistance.

La branche de Google spécialisée dans la réponse à incident indiquait alors avoir « suivi et signalé », depuis 2022, « l’existence de travailleurs informatiques opérant pour le compte de la République populaire démocratique de Corée (RPDC). Ces travailleurs se font passer pour des ressortissants d’autres pays que la Corée du Nord afin d’obtenir un emploi auprès d’organisations dans un large éventail de secteurs, dans le but de générer des revenus pour le régime nord-coréen, en particulier pour échapper aux sanctions et financer ses programmes d’armes de destruction massive (ADM) et de missiles balistiques ». Et de rappeler que le gouvernement américain avait déjà alerté sur la menace au printemps 2022.

Dans un billet de blog, Mandiant explique : « les travailleurs de l’informatique emploient diverses méthodes pour échapper à la détection. Nous avons observé que les opérateurs s’appuient sur des sociétés-écrans pour dissimuler leur véritable identité ; en outre, les actes d’accusation du gouvernement américain montrent que des individus non nord-coréens, connus sous le nom de “facilitateurs”, jouent un rôle crucial en permettant à ces travailleurs de l’informatique de chercher et de conserver un emploi ». 

Ces « facilitateurs » fournissent ainsi « des services essentiels qui comprennent, sans s’y limiter, le blanchiment d’argent et/ou de cryptomonnaie, la réception et l’hébergement d’ordinateurs portables de l’entreprise à leur domicile, l’utilisation d’identités volées pour la vérification de l’emploi et l’accès aux systèmes financiers internationaux »

SentinelOne s’est également penché sur cette menace, évoquant des sociétés-écrans « en Chine, Russie, Asie du Sud-Est, et Afrique » et en pointant 4 récemment découvertes : Independant Lab LLC, Shenyang Tonywang Technology Ltd, Tony WKJ LLC, et HopanaTech. Toutes quatre ont fait l’objet d’interventions judiciaires.

Mais de là, les chercheurs des SentinellLabs ont « pu trouver de nombreuses pistes menant à un réseau actif de sociétés-écrans d’informatique de la RPDC originaires de Chine ».

Pour eux, ces liens soulignent « l’ampleur et la complexité des systèmes financiers de la Corée du Nord et l’importance de la vigilance dans tous les secteurs d’activité ». 

Et d’inviter alors les organisations du monde entier « à mettre en œuvre des processus de contrôle rigoureux, y compris un examen minutieux des contractants et fournisseurs potentiels, afin d’atténuer les risques et d’éviter de soutenir par inadvertance de telles opérations illicites ».

Pour approfondir sur Cyberdéfense