Des hackers nord-coréens infiltrent les plateformes professionnelles en usurpant des identités numériques. Leur objectif : dérober des cryptomonnaies et des données sensibles par l'intermédiaire de faux profils sur les réseaux sociaux, notamment LinkedIn.
Il s'appellent Sapphire Sleet et Ruby Sleet. Ce sont des groupes, mais leur musique n'est pas celle qui adoucit les mœurs. Il s'agit en réalité de hackers qui ont conçu des techniques de manipulation qui frôlent la perfection.
Ils sévissent notamment sur LinkedIn, connu comme un réseau professionnel plutôt sûr, où la confiance règne. Ces pirates nord-coréens sont désormais des experts en détournement technologique, capables de générer des profils indétectables, alimentés par des algorithmes d'intelligence artificielle et une compréhension fine des mécanismes de recrutement international.
Comment les pirates nord-coréens transforment LinkedIn en terrain de chasse cybercriminel
Les groupes Sapphire Sleet et Ruby Sleet ont développé ni plus ni moins qu'un écosystème criminel fondé sur l'usurpation d'identité numérique. Ils créent des profils LinkedIn parfaitement crédibles, utilisent des « facilitateurs » étrangers qui les aident à contourner les restrictions dans certains pays et exploitent l'IA pour rendre leurs méthodes plus performantes.
Ces rois du carnaval se font passer tour à tour pour des investisseurs, des recruteurs ou des développeurs freelances. Leur mode d'approche principal consiste à proposer des réunions en ligne piégées ou des évaluations de compétences vérolées par des malwares.
En 6 mois, Sapphire Sleet a volé (accrochez-vous bien) plus de 10 millions de dollars en cryptomonnaies. Les outils comme Face swap leur permettent de modifier des photos d'identité, de créer des CV détaillés et de simuler des parcours professionnels qui tiennent la route. Un groupe identifié par Microsoft a ainsi perçu 370 000 dollars, ce qui prouve bien l'efficacité de ces stratégies criminelles qui contournent allègrement les sanctions internationales.
Les signaux d'alerte et les recommandations officielles pour détecter ces travailleurs informatiques nord-coréens
Le département d'État américain, le département du Trésor et le FBI ont établi une liste précise de signaux d'alerte.
Les recruteurs doivent être vigilants face à plusieurs indicateurs : connexions multiples depuis différents pays, transferts fréquents vers des comptes chinois, incohérences dans les informations personnelles entre différentes plateformes, indisponibilités récurrentes pendant les heures de travail.
Les recommandations officielles préconisent des vérifications rigoureuses : validation directe des documents auprès des institutions mentionnées, entretiens vidéo systématiques, vérifications biométriques, refus des paiements en cryptomonnaies, cohérence des informations personnelles.
Si les hackers ne rigolent pas avec leurs méthodes de plus en plus sophistiquées pour sévir, les États non plus.
01 décembre 2024 à 11h06
Sources : Microsoft, Office of Foreign Assets Control