Se connecter
Inscription
Mot de passe perdu
ESET Research enquête sur DeceptiveDevelopment et le vol de cryptomonnaies en Corée du Nord par de fausses offres d'emploi
Publié le 25/09/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
PRAGUE, BRATISLAVA, le 25 septembre 2025 — ESET Research publie de nouvelles conclusions sur DeceptiveDevelopment, connu aussi sous le nom de Contagious Interview, un groupe malveillant lié à la Corée du Nord et dont l'activité est en pleine croissance. Le groupe se concentre principalement sur le vol de cryptomonnaies et vise les développeurs indépendants sur les plateformes Windows, Linux et macOS. Cette nouvelle publication retrace son évolution, depuis les premières familles de maliciels jusqu'aux outils plus récents. Les campagnes reposent sur des tactiques sophistiquées d'ingénierie sociale, dont les faux entretiens d'embauche et la technique ClickFix, pour diffuser des maliciels et exfiltrer des cryptomonnaies. ESET a aussi analysé des données open source (OSINT) qui éclairent les activités d’informaticiens nord-coréens impliqués dans des opérations d'embauche frauduleuses et leurs liens avec DeceptiveDevelopment. Ces conclusions sont présentées aujourd'hui à la conférence annuelle de Virus Bulletin (VB).
DeceptiveDevelopment est un groupe lié à la Corée, actif depuis au moins 2023, et axé sur le profit. Il vise les développeurs de logiciels sur les principaux systèmes d'exploitation (Windows, Linux et macOS), et principalement ceux travaillant sur des projets de cryptomonnaie et Web3. L'accès initial s'effectue exclusivement par diverses techniques d'ingénierie sociale comme ClickFix et de faux profils de recruteurs, comparables à l'Opération DreamJob de Lazarus, pour diffuser des bases de code trojanisées lors de faux entretiens d'embauche. Ses charges utiles les plus utilisées sont les voleurs d'informations BeaverTail, OtterCookie et WeaselStore et le RAT modulaire InvisibleFerret.
« Les opérateurs de DeceptiveDevelopment utilisent de faux profils de recruteurs sur les réseaux sociaux, tels que l'Opération DreamJob de Lazarus. Mais ici, ils ont ciblé des développeurs de logiciels, souvent impliqués dans des projets de cryptomonnaies, fournissant aux victimes potentielles des bases de code trojanisées déployant des portes dérobées lors d’un faux processus d'entretien d'embauche », explique Peter Kálnai, co-auteur de l'étude. « Les individus à la base de ces activités remplacent une sophistication technique de pointe par des opérations à grande échelle et une ingénierie sociale fort créative. Leurs maliciels sont simples, mais parviennent à attirer même les cibles les plus expertes en technologie », ajoute Kálnai.
Les attaquants ont utilisé diverses méthodes pour compromettre les utilisateurs en se basant sur de l’ingénierie sociale pleine d’astuces. Via des profils falsifiés et/ou piratés, ils se font passer pour des recruteurs sur les plateformes LinkedIn, Upwork, Freelancer.com et Crypto Jobs List. Ils proposent de fausses offres d'emplois lucratifs pour attirer l'attention de leurs cibles. Les victimes sont alors invitées à participer à un jeu de codage ou à un premier entretien.
En plus des faux comptes de recruteurs, les attaquants ont personnalisé et amélioré la méthode d'ingénierie sociale appelée ClickFix. Les victimes sont attirées vers un faux site d'entretiens d'embauche où elles doivent remplir un formulaire de candidature détaillé qui demande un investissement considérable en temps et en efforts. Elles sont ensuite invitées à enregistrer une réponse vidéo, mais le site affiche une erreur de caméra et propose un lien “How to fix”. Ce lien invite à ouvrir un terminal et à copier une commande qui devrait résoudre le problème de caméra ou de microphone. C’est alors que le problème télécharge et exécute un maliciel.
Bien que les recherches sur DeceptiveDevelopment se basent principalement sur les données de télémétrie d'ESET et la rétro-ingénierie des outils du groupe, il faut souligner ses liens avec des opérations de fraude menées par des informaticiens nord-coréens. Selon l'affiche « Most Wanted » du FBI, cette campagne visant les informaticiens dure depuis au moins avril 2017 et s’est développée ces dernières années. Dans un avis conjoint publié en mai 2022, la campagne est décrite comme une action coordonnée menée par des informaticiens pro-coréens pour obtenir des emplois à l’étranger et dont les salaires serviront à financer le régime. Ils sont aussi connus pour le vol de données internes d'entreprises et leur utilisation à des fins d'extorsion, comme indiqué par le FBI dans un communiqué de janvier 2025.
ESET Research a découvert à partir des données OSINT disponibles, de faux CV et d'autres documents connexes. Les professionnels de l'informatique se concentrent sur les emplois et les contrats en Occident et en particulier aux États-Unis. Cependant, des conclusions basées sur les documents obtenus, montrent un déplacement vers l'Europe, ciblant la France, la Pologne, l'Ukraine et l'Albanie. Ces travailleurs utilisent l'IA pour leurs tâches et pour manipuler les photos de leur profil et de leur CV, ainsi que pour changer de visage lors d'entretiens vidéo en temps réel afin de ressembler à leur profil actuel. Ils utilisent des plateformes comme Zoom, MiroTalk, FreeConference ou Microsoft Teams pour diverses techniques d'ingénierie sociale. Les entretiens par procuration sont un gros risque pour les employeurs, car embaucher un employé illégitime d'un pays sanctionné peut être irresponsable ou sous-performant, mais aussi se transformer en une dangereuse menace interne.
« Les activités des informaticiens nord-coréens sont une menace hybride. Ce type de fraude combine des opérations criminelles classiques - usurpation d'identité et fraude à l'identité synthétique, avec des outils numériques - ce qui le classe comme un crime traditionnel et un cybercrime », déclare Kálnai.
Le document de recherche « DeceptiveDevelopment : From primitive crypto theft to sophisticated AI-based deception » résume l'évolution des deux outils phares du groupe, InvisibleFerret et BeaverTail. Il identifie aussi les liens découverts récemment entre la porte dérobée Tropidoor de DeceptiveDevelopment et le RAT PostNapTea utilisé par le groupe Lazarus. Il propose aussi une analyse complète de TsunamiKit et WeaselStore, les nouvelles boîtes à outils utilisées par DeceptiveDevelopment, et décrit les fonctionnalités d'un serveur C&C WeaselStore et de son API.
Pour une analyse plus détaillée des opérations et outils de DeceptiveDevelopment, consultez le dernier livre blanc d'ESET Research « DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception » ou l’article qui l'accompagne sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (aujourd'hui X), BlueSky, et Mastodon pour être informé(e) de ses dernières actualités.
DeceptiveDevelopment est un groupe lié à la Corée, actif depuis au moins 2023, et axé sur le profit. Il vise les développeurs de logiciels sur les principaux systèmes d'exploitation (Windows, Linux et macOS), et principalement ceux travaillant sur des projets de cryptomonnaie et Web3. L'accès initial s'effectue exclusivement par diverses techniques d'ingénierie sociale comme ClickFix et de faux profils de recruteurs, comparables à l'Opération DreamJob de Lazarus, pour diffuser des bases de code trojanisées lors de faux entretiens d'embauche. Ses charges utiles les plus utilisées sont les voleurs d'informations BeaverTail, OtterCookie et WeaselStore et le RAT modulaire InvisibleFerret.
« Les opérateurs de DeceptiveDevelopment utilisent de faux profils de recruteurs sur les réseaux sociaux, tels que l'Opération DreamJob de Lazarus. Mais ici, ils ont ciblé des développeurs de logiciels, souvent impliqués dans des projets de cryptomonnaies, fournissant aux victimes potentielles des bases de code trojanisées déployant des portes dérobées lors d’un faux processus d'entretien d'embauche », explique Peter Kálnai, co-auteur de l'étude. « Les individus à la base de ces activités remplacent une sophistication technique de pointe par des opérations à grande échelle et une ingénierie sociale fort créative. Leurs maliciels sont simples, mais parviennent à attirer même les cibles les plus expertes en technologie », ajoute Kálnai.
Les attaquants ont utilisé diverses méthodes pour compromettre les utilisateurs en se basant sur de l’ingénierie sociale pleine d’astuces. Via des profils falsifiés et/ou piratés, ils se font passer pour des recruteurs sur les plateformes LinkedIn, Upwork, Freelancer.com et Crypto Jobs List. Ils proposent de fausses offres d'emplois lucratifs pour attirer l'attention de leurs cibles. Les victimes sont alors invitées à participer à un jeu de codage ou à un premier entretien.
En plus des faux comptes de recruteurs, les attaquants ont personnalisé et amélioré la méthode d'ingénierie sociale appelée ClickFix. Les victimes sont attirées vers un faux site d'entretiens d'embauche où elles doivent remplir un formulaire de candidature détaillé qui demande un investissement considérable en temps et en efforts. Elles sont ensuite invitées à enregistrer une réponse vidéo, mais le site affiche une erreur de caméra et propose un lien “How to fix”. Ce lien invite à ouvrir un terminal et à copier une commande qui devrait résoudre le problème de caméra ou de microphone. C’est alors que le problème télécharge et exécute un maliciel.
Bien que les recherches sur DeceptiveDevelopment se basent principalement sur les données de télémétrie d'ESET et la rétro-ingénierie des outils du groupe, il faut souligner ses liens avec des opérations de fraude menées par des informaticiens nord-coréens. Selon l'affiche « Most Wanted » du FBI, cette campagne visant les informaticiens dure depuis au moins avril 2017 et s’est développée ces dernières années. Dans un avis conjoint publié en mai 2022, la campagne est décrite comme une action coordonnée menée par des informaticiens pro-coréens pour obtenir des emplois à l’étranger et dont les salaires serviront à financer le régime. Ils sont aussi connus pour le vol de données internes d'entreprises et leur utilisation à des fins d'extorsion, comme indiqué par le FBI dans un communiqué de janvier 2025.
ESET Research a découvert à partir des données OSINT disponibles, de faux CV et d'autres documents connexes. Les professionnels de l'informatique se concentrent sur les emplois et les contrats en Occident et en particulier aux États-Unis. Cependant, des conclusions basées sur les documents obtenus, montrent un déplacement vers l'Europe, ciblant la France, la Pologne, l'Ukraine et l'Albanie. Ces travailleurs utilisent l'IA pour leurs tâches et pour manipuler les photos de leur profil et de leur CV, ainsi que pour changer de visage lors d'entretiens vidéo en temps réel afin de ressembler à leur profil actuel. Ils utilisent des plateformes comme Zoom, MiroTalk, FreeConference ou Microsoft Teams pour diverses techniques d'ingénierie sociale. Les entretiens par procuration sont un gros risque pour les employeurs, car embaucher un employé illégitime d'un pays sanctionné peut être irresponsable ou sous-performant, mais aussi se transformer en une dangereuse menace interne.
« Les activités des informaticiens nord-coréens sont une menace hybride. Ce type de fraude combine des opérations criminelles classiques - usurpation d'identité et fraude à l'identité synthétique, avec des outils numériques - ce qui le classe comme un crime traditionnel et un cybercrime », déclare Kálnai.
Le document de recherche « DeceptiveDevelopment : From primitive crypto theft to sophisticated AI-based deception » résume l'évolution des deux outils phares du groupe, InvisibleFerret et BeaverTail. Il identifie aussi les liens découverts récemment entre la porte dérobée Tropidoor de DeceptiveDevelopment et le RAT PostNapTea utilisé par le groupe Lazarus. Il propose aussi une analyse complète de TsunamiKit et WeaselStore, les nouvelles boîtes à outils utilisées par DeceptiveDevelopment, et décrit les fonctionnalités d'un serveur C&C WeaselStore et de son API.
Pour une analyse plus détaillée des opérations et outils de DeceptiveDevelopment, consultez le dernier livre blanc d'ESET Research « DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception » ou l’article qui l'accompagne sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (aujourd'hui X), BlueSky, et Mastodon pour être informé(e) de ses dernières actualités.
Liens associés
31/10/2025 @ 08:05:14
Poster un commentaire
Consoles
Jeux Vidéos
Programmation
Intel
Apple
