Longtemps associé à ses propres souches de ransomware, le groupe nord-coréen Lazarus s’appuie désormais sur Medusa, déjà bien implanté dans l’écosystème du ransomware-as-a-service. Une évolution tactique qui complique l’attribution et élargit le champ des cibles potentielles.
Depuis plus de dix ans, Lazarus développe et déploie ses propres outils pour ses campagnes d’extorsion, conservant ainsi la main sur ses infrastructures et ses chaînes d’infection. Ce modus operandi semble toutefois évoluer, les derniers travaux de Symantec et Carbon Black indiquant que le groupe a récemment mobilisé le ransomware clé en main Medusa dans plusieurs attaques visant des établissements de santé. Un choix révélateur d’une approche plus pragmatique, où l’efficacité prime désormais sur la singularité de l’outil.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Medusa, un choix qui change la lecture des attaques
Dans le détail, les chercheurs et chercheuses ont confirmé avoir observé des acteurs associés à Lazarus dans une attaque ciblant une entité au Moyen-Orient, ainsi qu’une tentative distincte dirigée contre une organisation de santé aux États-Unis. Le chiffrement n’a pas été mené à terme dans ce second cas, mais la finalité ne fait guère de doute. L’opération s’inscrit dans une série d’actions à visée financière impliquant cette fois Medusa, un ransomware-as-a-service (RaaS) lancé en 2023 et opéré par le groupe cybercriminel Spearwing.
Fait intéressant, Lazarus était jusqu’ici essentiellement associé à des familles de ransomware développées en interne. Le recours à Medusa suffit donc déjà à marquer un changement d’outil, mais Lazarus ne fait pas que remplacer une souche par une autre. Le groupe s’appuie désormais sur une offre déjà structurée, avec sa propre infrastructure d’extorsion, son modèle d’affiliation et un écosystème criminel bien installé.
Une configuration qui brouille d’autant plus la lecture des attaques, Medusa n’étant pas la signature d’un seul groupe, mais un service partagé. Les intrusions attribuées à Lazarus se retrouvent ainsi mêlées à d’autres campagnes sur le site de leak du ransomware, où figurent, depuis novembre 2025, plusieurs établissements de santé et organisations associatives au profil proche de celui des deux cas documentés. De quoi suggérer d’autres opérations liées au groupe nord-coréen, sans attribution formelle possible pour le moment.
Des attaques plus faciles à multiplier, des entreprises plus exposées
Le recours à Medusa ne change pas la nature des opérations attribuées à Lazarus, mais il dit quelque chose de leur organisation. En déléguant la conception et l’exploitation d’un ransomware à une offre déjà opérationnelle, le groupe peut désormais concentrer ses ressources sur l’intrusion, puis sur les phases de pression et de négociation, voire accélérer le rythme de ses attaques et faciliter leur multiplication.
Or, si ces attaques se multiplient, le nombre de cibles visées risque logiquement d’augmenter. Ne partez pas du principe que votre entreprise est à l’abri, faute d’intérêt géopolitique. Dans ce type de campagne, la cible peut être choisie pour des raisons beaucoup plus prosaïques (accès exploitable, activité difficile à interrompre, capacité de négociation, niveau de préparation insuffisant).
Par conséquent, n’attendez pas la note de rançon pour agir. Corrigez les systèmes exposés, verrouillez les accès distants, généralisez l’authentification multifacteur, réduisez les privilèges et testez vos sauvegardes. Si jamais l’intrusion a déjà eu lieu, isolez rapidement les machines touchées, coupez les accès compromis, conservez les traces utiles à l’analyse et déclenchez sans tarder votre procédure de réponse à incident.
Dans tous les cas, ne payez jamais la rançon. D’une part, vous n’avez aucune garantie de déchiffrement ni de restitution des données. D’autre part, vous signalez que vous pouvez payer, au risque d’être ciblé de nouveau, tout en finançant directement l’économie criminelle qui alimente ce type de campagnes.
