Getty Images/iStockphoto

Actualites

Comment l'IA a permis de démasquer un informaticien nord-coréen malveillant

Un Nord-Coréen se faisant passer pour un informaticien américain a utilisé une IA générative pour infiltrer Exabeam. Mais une IA agentique en a détecté les indices grâce à l'UEBA et l'a démasqué en quelques secondes.

par
Publié le: 31 mars 2026

À l'été 2025, un jeune informaticien du nom de Trevor Roth* a décroché un poste à distance chez Exabeam, un fournisseur de solutions de cybersécurité.

Trevor Roth avait brillamment réussi son entretien technique et son test. Il avait également passé avec succès son entretien vidéo — même si l'équipe de recrutement avait l'impression qu'il avait peut-être eu recours à des outils d'IA générative pour obtenir une aide en temps réel — et Exabeam lui a proposé un poste. Une fois les formalités d'embauche habituelles accomplies, notamment la vérification de ses antécédents, il a reçu son ordinateur portable du service informatique et s'est immédiatement mis au travail.

Il y avait juste un problème. « Trevor Roth » était en réalité un acteur malveillant nord-coréen, utilisant une identité volée et des documents falsifiés. Et il se trouvait désormais au sein du réseau privé d'Exabeam.

Des acteurs malveillants étrangers originaires de la République populaire démocratique de Corée (RPDC) constituent une menace omniprésente et croissante pour les entreprises du classement Fortune 500. Le département du Trésor américain estime que des milliers d'entre eux figurent sur les fiches de paie d'entreprises américaines et ont accès à leurs systèmes d'entreprise. Les objectifs des agents nord-coréens sont doubles : premièrement, gagner de l'argent pour le régime autoritaire de leur pays, et deuxièmement, permettre des intrusions malveillantes. Dans des affaires récentes, des employeurs américains ont été victimes de vols de cryptomonnaies, de données sensibles et d'extorsion de données aux mains d'initiés malveillants originaires de la Corée du Nord.

Ce qui complique les efforts de détection, c'est que ces acteurs malveillants étrangers cherchent souvent à rester en poste pendant des mois, voire des années, ce qui les incite à faire profil bas. « En général, on observe ce type d’attaques discrètes et lentes, qui exploitent les ressources existantes, des activités qui ne sont pas très évidentes », expliquait Steve Povolny, vice-président de la recherche en IA et en sécurité chez Exabeam, lors d’une présentation à la RSAC 2026 : « on observe des comportements qui passent inaperçus, jusqu’à ce qu’ils ne le soient plus ».

Malheureusement pour le nouvel employé d'Exabeam, son premier jour de travail a également été son dernier — en partie à cause de l'IA autonome.

Pour neutraliser un acteur malveillant étranger

La première fois que « Trevor Roth » s'est connecté à son compte d'entreprise Exabeam, le flux de renseignements sur les menaces du SOC a signalé son nom d'utilisateur comme présentant un risque élevé, en indiquant qu'il avait été associé à des activités d'acteurs malveillants nord-coréens. Sur la base de ces informations, les équipes d'intervention ont discrètement accédé à l'ordinateur portable de Roth et l'ont isolé du reste du réseau.

« Au départ, l'équipe d'intervention en cas d'incident n'excluait pas la possibilité que les renseignements sur la menace soient erronés », expliquait Kevin Kirkwood, responsable de la sécurité des systèmes d'information (RSSI), aux côtés de Steve Povolny. « Au début, nous avons supposé qu'il s'agissait d'une intention bienveillante. C'était un tout nouvel utilisateur, et peut-être avions-nous simplement identifié la mauvaise personne », a-t-il ajouté.

Parallèlement, le SIEM a commencé à générer des alertes sporadiques concernant les activités de Roth, notamment les suivantes :

  • Fichiers téléchargés à partir d'un site Zoom malveillant.
  • Tentative de connexion à un VPN tiers.
  • Installation du logiciel Jump Desktop.
  • Connexion à un service de streaming.

Prises isolément et hors contexte — et sans l'alerte préalable fournie par le flux d'informations sur les menaces —, chaque alerte aurait pu n'être guère plus qu'un simple bruit de fond, selon Kevin Kirkwood. Jusqu'à ce qu'entre en scène l'IA.

Exabeam Nova, l'agent d'IA chargé des enquêtes au sein du SOC de l'organisation, a collecté de manière autonome les données éparses d'analyse du comportement des utilisateurs et des entités (UEBA) concernant Trevor Roth et les a évaluées en tenant compte de son rôle et de son statut de nouvel employé. Estimant qu'une enquête approfondie s'imposait, Nova a ensuite analysé le comportement de l'utilisateur et ses intentions présumées, puis a présenté ses conclusions aux opérateurs humains : « le profil des activités correspond au vecteur de menace "logiciels malveillants", qui constitue un signe avant-coureur d'un scénario de compromission impliquant un initié ».

Enfin, l'assistant IA a suggéré aux analystes SOC de passer aux étapes suivantes :

  1. Isoler l'hôte affecté afin d'empêcher toute nouvelle compromission ou tout déplacement latéral.
  2. Lancer une analyse forensic complète de l'hôte affecté afin d'identifier le vecteur d'infection initial et l'étendue totale de la compromission.
  3. Examiner l'activité de l'utilisateur, notamment ses e-mails récents et l'historique de son navigateur, afin de détecter d'éventuelles tentatives d'hameçonnage ou des téléchargements de logiciels non autorisés qui auraient pu entraîner l'exécution du logiciel malveillant.
  4. Vérifier les mécanismes de persistance, notamment les tâches planifiées et les clés de registre modifiées.
  5. Analyser le trafic réseau afin de détecter les connexions établies par l'hôte concerné vers des adresses IP ou des domaines externes suspects.
  6. Mettre à jour la protection des terminaux, en s'assurant que les solutions de détection et de réponse aux incidents sur les terminaux ainsi que les logiciels antivirus sont à jour, puis effectuez une analyse complète de la machine concernée et des autres systèmes potentiellement vulnérables.

Une analyse qui, selon Kevin Kirkwood, aurait pris trois à quatre heures aux analystes du SOC n'a pris que quelques secondes à l'agent IA.

« C'est vraiment là que la combinaison de l'UEBA traditionnelle et des capacités modernes de l'IA devient extrêmement puissante : elle permet de transformer tout ce bruit dispersé, [apparemment] sans rapport et non suspect, en signaux », a ajouté Steve Povolny. Pour lui, « l'IA que nous avions déployée en interne a détecté cela très, très rapidement ».

Après avoir discrètement isolé l'appareil de l'acteur malveillant nord-coréen, Kevin Kirkwood et son équipe de réponse à incident ont passé les cinq heures suivantes à observer son comportement, qui consistait notamment à installer un logiciel de commande et de contrôle et à tenter d'exfiltrer des données de l'entreprise. « Ce furent cinq heures très agréables », a-t-il expliqué : « c'était un peu comme si on s'installait confortablement pour regarder des combats de boxe. On boit de la bière, on grignote des cacahuètes et on regarde les coups pleuvoir ».

Lorsque l'acteur malveillant étranger s'est finalement rendu compte qu'il était surveillé, il a commencé à essayer de supprimer ses fichiers temporaires. C'est alors que Kevin Kirkwood a mis fin à l'opération, et son équipe a rendu la machine inutilisable : « à ce moment-là, ce n'était plus qu'un gros morceau de métal, rien de plus ».

L'équipe d'Exabeam a ensuite transmis au FBI les indicateurs de compromission qu'elle avait recueillis, ainsi que l'adresse à Austin à laquelle l'acteur malveillant avait demandé à l'entreprise d'envoyer son ordinateur portable : « environ une semaine plus tard, nous avons appris que le FBI avait démantelé un réseau de serveurs virtuels dans la région d’Austin », a indiqué Kevin Kirkwood.

* le nom utilisé frauduleusement par l'auteur malveillant a été modifié afin de protéger une victime potentielle d'usurpation d'identité.

Pour approfondir sur Menaces, Ransomwares, DDoS