Des espions nord-coréens ont réussi à s’infiltrer dans plusieurs entreprises technologiques américaines en usurpant des identités de télétravailleurs, révélant ainsi une opération complexe. Depuis 2018, ce stratagème vise à générer des revenus pour le régime de Kim Jong-un, tout en contournant les sanctions internationales.
Des infiltrations dans des entreprises technologiques et la contournement des sanctions
Des agents nord-coréens ont réussi à s’introduire dans de nombreuses sociétés technologiques américaines, y compris certaines figurant sur la liste Fortune 100, en se faisant passer pour des employés du secteur informatique et des nouvelles technologies grâce à des identités fictives. Ce système, qui existe depuis 2018, a été mis en lumière par Google via sa filiale de cybersécurité, Mandiant. L’objectif principal de ces employés est de générer des revenus pour la Corée du Nord et de financer ses programmes d’armement, tout en évitant les sanctions internationales imposées au régime.
La méthode utilisée par ces espions repose sur des outils d’accès à distance tels que Chrome Remote Desktop, TeamViewer et AnyDesk, permettant aux agents nord-coréens de travailler depuis des pays comme la Chine ou la Russie tout en faisant croire à leurs employeurs qu’ils se trouvent aux États-Unis. Selon Mandiant, le groupe connu sous le nom de UNC5267, composé de travailleurs envoyés par la Corée du Nord, a réussi à infiltrer plusieurs entreprises en prétendant être des télétravailleurs, utilisant des documents falsifiés pour rester sous le radar. La Corée du Nord a déjà prouvé son contrôle rigoureux sur la technologie à l’intérieur de ses frontières, et étend maintenant son emprise à l’échelle mondiale grâce à ces opérations.
Un double objectif
Le but ultime de ces travailleurs est double : enrichir le régime de Kim Jong-un et, dans certains cas, obtenir un accès privilégié aux systèmes d’information des sociétés pour faciliter des cyberattaques. En 2022, le Gouvernement des États-Unis a averti que plusieurs de ces employés avaient tendance à se livrer à des activités malveillantes. Ce qui est particulièrement préoccupant, c’est que certains de ces agents nord-coréens sont rémunérés jusqu’à 300 000 dollars par an, une somme conséquente qui est réinvestie en faveur des ambitions nucléaires de leur pays.
Principalement, ces agents nord-coréens se sont intégrés dans des entreprises offrant du travail à distance, ce qui a facilité l’utilisation d’identités fictives. En effet, il a été découvert que beaucoup d’entre eux opéraient depuis des fermes de serveurs situées en Russie et en Chine, où des technologies d’accès à distance avaient été installées pour relier les travailleurs à leurs employeurs aux États-Unis. Au cours des derniers mois, plusieurs citoyens américains ont été arrêtés pour gérer ces fermes, utilisant jusqu’à 60 identités volées afin d’infiltrer des travailleurs nord-coréens dans plus de 300 entreprises, générant des bénéfices s’élevant à 6,8 millions de dollars entre 2020 et 2023.
La stratégie d’expédier des ordinateurs à des localisations différentes de celles déclarées dans les demandes d’emploi a suscité des soupçons parmi plusieurs entreprises, qui ont finalement alerté Google sur ces affaires. Les ordinateurs étaient reliés à des programmes tels que GoToMeeting et LogMeIn, ce qui a permis aux travailleurs d’accéder à distance au réseau sans éveiller les soupçons. Une récente découverte de malware nord-coréen associé à WhatsApp met en évidence la complexité des tactiques utilisées par le régime nord-coréen dans ses efforts pour s’infiltrer dans le secteur occidental.
Mandiant exhorte les entreprises à renforcer leurs mesures de sécurité par le biais de vérifications supplémentaires, telles que des entretiens vidéo et la validation des emplacements des ordinateurs. L’affaire d’un américain arrêté, dont l’implication dans ce réseau a permis l’insertion de travailleurs nord-coréens dans plus de 300 sociétés, révèle les vulnérabilités existant au sein des systèmes de vérification et souligne l’urgence de mettre en place des mesures plus strictes pour prévenir toute infiltration.