Une nouvelle analyse d’ESET Research, présentée à la conférence Virus Bulletin, expose les méthodes sophistiquées du groupe APT DeceptiveDevelopment. Actif depuis au moins 2023 et lié à la Corée du Nord, ce groupe combine ingénierie sociale, malwares multiplateformes et désormais l’IA pour dérober des crypto-actifs, avec un possible objectif secondaire d’espionnage.
Une menace ciblant l’écosystème Web3
L’enquête d’ESET Research établit des liens détaillés entre le groupe DeceptiveDevelopment (aussi connu sous le nom de « Contagious Interview ») et des opérations frauduleuses de travailleurs informatiques nord-coréens. Actif depuis au moins 2023, ce groupe aligné sur Pyongyang s’attaque spécifiquement aux développeurs indépendants (freelances) impliqués dans des projets de cryptomonnaies et Web3. L’attaque n’épargne aucun système, visant à la fois Windows, Linux et macOS.
Si l’objectif principal est clairement le gain financier par le vol de crypto-actifs, ESET estime qu’un objectif secondaire d’espionnage est tout à fait possible, compte tenu de la nature des cibles infiltrées. L’étude retrace méticuleusement l’évolution du groupe, depuis ses premiers malwares rudimentaires jusqu’à un arsenal sophistiqué déployé aujourd’hui.
Ingénierie sociale : de « DreamJob » à la méthode « ClickFix »
Le mode opératoire de DeceptiveDevelopment repose sur une ingénierie sociale créative et à grande échelle. Il s’inspire fortement de l’opération « DreamJob » du célèbre groupe Lazarus, également nord-coréen. Les attaquants créent de faux profils de recruteurs sur des plateformes légitimes comme LinkedIn, Upwork, Freelancer.com et Crypto Jobs List, proposant des opportunités d’emploi fictives mais très lucratives.
« Les attaquants créent de faux profils de recruteurs sur les réseaux sociaux. Ensuite, ils contactent spécifiquement des développeurs de projets crypto pour leur fournir du code trojanisé lors de processus d’entretien fictifs », explique Peter Kálnai, co-auteur de la recherche chez ESET. Il ajoute : « Ces attaquants compensent une sophistication technique modérée par des opérations à grande échelle et une ingénierie sociale créative, parvenant à compromettre même des cibles techniquement averties. »
Le groupe a notamment personnalisé une technique baptisée « ClickFix ». Les victimes sont attirées vers un faux site d’entretien qui leur demande de remplir un formulaire détaillé et chronophage. Au moment de l’étape finale d’enregistrement vidéo, une erreur de caméra factice apparaît, accompagnée d’un lien « résoudre le problème ». Ce lien incite la victime à exécuter une commande dans son terminal, prétendument pour corriger le bug, mais qui en réalité télécharge et exécute le malware.
Un arsenal de malwares dédié au vol
Une fois l’accès initial obtenu, DeceptiveDevelopment déploie une panoplie d’outils malveillants pour exfiltrer les données sensibles. Leur arsenal comprend plusieurs « infostealers » (voleurs d’informations) nommés BeaverTail, OtterCookie et le nouveau WeaselStore.
Leur outil phare reste cependant InvisibleFerret, un RAT (Remote Access Trojan) modulaire capable de prendre le contrôle à distance des machines infectées. L’analyse d’ESET révèle également des liens techniques entre leurs outils et d’autres malwares nord-coréens, notamment le RAT PostNapTea (attribué à Lazarus) et la boîte à outils TsunamiKit.
L’IA et les Deepfakes : la nouvelle frontière de l’attaque
L’aspect le plus alarmant de l’enquête est l’exploitation massive de l’intelligence artificielle par les attaquants. L’IA est utilisée pour générer des contenus professionnels crédibles, comme des CV ou des descriptions de poste, et pour manipuler des photos de profil afin de créer des identités composites.
Plus inquiétant encore, les chercheurs rapportent l’utilisation de deepfakes en temps réel lors d’entretiens vidéo. Les attaquants mènent des entretiens sur des plateformes comme Zoom, MiroTalk, FreeConference ou Teams, en utilisant des visages et des voix générés par IA pour usurper des identités et paraître parfaitement légitimes.
« Les activités de DeceptiveDevelopment illustrent une menace hybride, mêlant fraude à l’identité et cyberattaques », conclut Peter Kálnai. « Leur approche combine des techniques classiques avec des outils numériques modernes, ce qui les rend particulièrement difficiles à détecter. »
Un lien direct avec les opérations de financement du régime
L’étude d’ESET, s’appuyant sur des données OSINT (Open-Source Intelligence), relie ces campagnes à l’opération globale des travailleurs informatiques nord-coréens, identifiée par le FBI sur son affiche « Most Wanted » comme étant active depuis avril 2017. L’objectif de cette vaste opération est d’obtenir un emploi frauduleux dans des entreprises, principalement occidentales, pour financer le régime de Pyongyang et contourner les sanctions internationales.
Outre le financement, ces travailleurs infiltrés volent également des données internes à des fins d’extorsion. L’analyse OSINT d’ESET note d’ailleurs un glissement des cibles, historiquement concentrées aux États-Unis, vers l’Europe, avec des cas identifiés en France, Pologne, Ukraine et Albanie.
Pour une analyse technique complète, ESET Research a publié un livre blanc détaillé : « DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception
