Cependant, comprendre les différentes institutions de cette nation ermite secrète et la manière dont elles continuent d’évoluer et de partager leurs ressources aide les organisations à se défendre de manière proactive contre ce type de menaces. Mandiant estime que l’appareil de renseignement nord-coréen possède la flexibilité et la résilience nécessaires pour créer des cyber-unités en fonction des besoins du pays. De plus, les chevauchements au niveau de l’infrastructure, des logiciels malveillants, des tactiques, des techniques et des procédures indiquent que leurs cyber-opérations partagent des ressources.

La figure 1 est un organigramme des capacités cyber de la Corée du Nord définie à partir de diverses sources ouvertes : OSINT, croisés avec des informations sur les cibles , les logiciels malveillants et les informations émanant de réfugiés Nord Coréens, qui met en lumière un changement apparent dans les rangs cyber nord-coréens.

Le Département du Front Uni (UFD) est une organisation parrainée par le Comité central du Parti des travailleurs de Corée. Bien qu’elle soit composée de groupes opérationnels qui peuvent ne pas correspondre à des "cyberacteurs" bien connus, l’effort global de l’organisation se concentre sur la diffusion de propagande pro-régime visant la Corée du Sud, susceptible de viser leur principal rival géopolitique. L’UFD s’appuie généralement sur des opérations d’information en ligne, notamment une "armée de cyber-trolls", pour promouvoir des récits politiques favorables à la RPDC (République populaire démocratique de Corée) sur des forums Internet, ainsi que sur des efforts de propagande conventionnels, tels que des tracts et des émissions de radio ciblant leur voisin du Sud.

En l’espace de deux ans, ces "cyber trolls" auraient détourné des comptes d’utilisateurs sud-coréens en ligne et posté environ 68 000 articles de propagande sur des forums Web et dans diverses sections de commentaires afin d’amplifier le message du régime en Corée du Sud. L’objectif final de cette organisation est la création de groupes pro-nord-coréens en Corée du Sud.

Ministère de la sécurité d’État

Le ministère de la Sécurité d’État est le principal service de contre-espionnage de la Corée du Nord, qui fonctionne comme une partie autonome du gouvernement et est principalement chargé du contre-espionnage national et des activités de contre-espionnage à l’étranger. Les précédentes campagnes d’ APT37 visant des partenaires étrangers de coentreprises ainsi que les activités de menace contre les réfugiés, les agences de soutien aux réfugiés et les organisations humanitaires indiquent que les activités d’APT37 s’alignent très probablement sur le programme du ministère de la Sécurité d’État.

· La mission principale de APT37 est la collecte secrète de renseignements à l’appui des intérêts stratégiques militaires, politiques et économiques de la RPDC. L’absence d’activité récente et significative de la part de cet acteur, associée à une recrudescence de ciblage similaire de la part des unités de l’ensemble d’acteurs « Kimsuky », peut indiquer un changement ou une consolidation au sein de la leadership cyber de la Corée du Nord.

Bureau général de reconnaissance : Une vue d’ensemble

Le RGB est le principal service de renseignement extérieur de la Corée du Nord, responsable de la collecte de renseignements et des opérations clandestines. On pense qu’il est composé de six bureaux :

· 1er Bureau : Opérations

· 2ème Bureau : Surveillance

· 3ème Bureau : Renseignement extérieur

· 5ème Bureau : Affaires intercoréennes

· 6ème Bureau : Technologie

· 7ème Bureau : Assistance

Il est à noter qu’il n’existe pas de quatrième bureau, probablement parce que le chiffre "4" est considéré comme tabou.

Si les efforts en matière de cybernétique constituent une partie des opérations globales de l’organisation, le 3e bureau (renseignement étranger) et le 5e bureau (affaires intercoréennes) semblent détenir le coeur même du programme cybernétique de la Corée du Nord.

Bureau général de reconnaissance : Le 3ème Bureau

Lab 110…le focus sur le Lazarus Group Umbrella

TEMP.Hermit, APT38 et Andariel sont probablement subordonnés au Lab 110. Le Lab 110 est probablement une version étendue et réorganisée du « Bureau 121 », souvent considéré comme la principale unité de piratage de la Corée du Nord. Le Lab 110 contient certains éléments qui sont le plus étroitement liés à l’organisation, publiquement signalée comme « Lazarus Group ». Les rapports Open-source utilisent souvent le titre de Lazarus Group comme un terme générique, faisant référence à de nombreux groupes que suivis séparément. Bien que TEMP.Hermit soit le plus souvent associé aux rapports du Groupe Lazarus, les chercheurs regroupent souvent ces trois groupes d’acteurs - et parfois même tous les APT nord-coréens - sous le seul nom de « Groupe Lazarus ».

· Le Lab 110 a opéré à partir de sociétés écrans historiquement basées dans le nord-est de la Chine, entre autres. Les sociétés écrans précédemment identifiées comprennent Chosun Expo Joint Venture à Dalian et Chosun Baeksul Trading Company à Shenyang.

· TEMP.Hermit est un acteur qui existe depuis au moins 2013. Leurs opérations depuis cette date sont représentatives des efforts de Pyongyang pour collecter des renseignements stratégiques au profit des intérêts nord-coréens. Cet acteur cible des institutions gouvernementales, de défense, de télécommunications et financières dans le monde entier et le terme « Lazarus Group » fait le plus souvent référence à ce groupe d’activités.

· APT38 est un groupe à motivation financière parrainé par la Corée du Nord, connu pour ses compromissions financières importantes et son utilisation de logiciels malveillants destructeurs contre des institutions financières. On attribue au groupe des compromissions sophistiquées visant les systèmes de transfert de fonds interbancaires afin de voler des millions de dollars à la fois dans plusieurs pays du monde.

o o Un sous-groupe connexe et probable d’APT38, qui se concentre également sur l’activité financière, est désigné dans les sources ouvertes comme « CryptoCore » ou « Dangerous Password ».

· Andariel concentre ses opérations sur les entreprises étrangères, les agences gouvernementales, les infrastructures de services financiers, les sociétés privées et les entreprises, ainsi que sur l’industrie de la défense. Le groupe se livre également à la cybercriminalité, probablement comme une source supplémentaire de revenus pour le gouvernement, comme Mandiant a pu l’observé dans l’activité des logiciels malveillants de signature de cet acteur ; toutefois, le ciblage du personnel militaire et gouvernemental semble être le principal objectif.

· Bureau 325 a été annoncé publiquement en janvier 2021, lorsque la structure du RGB a probablement changé en réponse à la pandémie de coronavirus (COVID-19). La nouvelle unité semblait avoir pour mission principale de mener des opérations de collecte de renseignements contre les organisations de recherche et de fabrication du COVID-19. Les rapports des réfugiés indiquent également qu’en janvier 2021, l’unité n’était pas pleinement opérationnelle. Au fil du temps, on a observé un partage des efforts et des activités de type « non-COVID-19 », ce qui indique que cet acteur se rapproche de l’étape que les informateurs réfugiés signalent : « ... le groupe commencera bientôt des opérations à grande échelle ». Ce Bureau 325 nouvellement formé abrite l’unité de la RPDC axée sur le COVID-19 et correspond aux activités suivies dans l’Open-Source sous le nom de « CERIUM ». Mandiant soupçonne que des individus issus de plusieurs groupes précédemment suivis - dont TEMP, Hermit et Kimsuky - ont également été affectés au Bureau 325 pour répondre aux opérations hautement prioritaires des dirigeants de la RPDC.

o Au fil du temps, on a commencé à voir cette organisation passer des efforts « strictement COVID-19 » au ciblage des déserteurs, de la défense et des gouvernements, des blogueurs, des médias, des services de crypto-monnaie et des institutions financières. Cette augmentation des responsabilités indique que le groupe a rapidement gagné la confiance des hauts dirigeants de la RPDC et a probablement gagné en importance. Les défenseurs continueront de voir les traces du Bureau 325 sur davantage de campagnes dans la nature.

Bureau général de reconnaissance : Le 5ème Bureau

Certains chevauchements indiquent que des éléments informatiques de l’UFD partagent des intérêts concernant les problèmes de la péninsule coréenne et des similitudes de ciblage avec APT37 ; toutefois, ces éléments supplémentaires semblent s’ajouter à la mission globale du 5e Bureau.

· Kimsuky est un acteur souvent confondu dans le renseignement en sources ouvertes qui mène des campagnes ciblées pour collecter des renseignements stratégiques sur les événements et négociations géopolitiques affectant les intérêts de la RPDC. Cet acteur cible principalement des organisations aux États-Unis et en Corée du Sud, notamment des personnes travaillant au sein du gouvernement, de l’armée, de l’industrie manufacturière, du milieu universitaire et de groupes de recherche qui possèdent une expertise en matière de défense et de sécurité, en particulier la sécurité nucléaire et la politique de non-prolifération. Les activités de cet acteur malveillant comprennent la collecte de données financières, personnelles et relatives aux clients, en particulier dans les secteurs universitaire, industriel et de la sécurité nationale en Corée du Sud. La raison la plus probable est la mise en place d’une infrastructure supplémentaire pour des opérations de cyberespionnage, l’utilisation de personas pour des campagnes de phishing ou la réalisation de vols d’identité et de fraudes.

Conclusion

Les opérations d’espionnage du pays sont censées refléter les préoccupations et les priorités immédiates du régime, qui se concentre probablement actuellement sur l’acquisition de ressources financières par le biais de crypto-vols, le ciblage des médias, des nouvelles et des entités politiques, les informations sur les relations étrangères et les informations nucléaires, ainsi qu’une légère baisse du vol autrefois élevé de la recherche sur le vaccin COVID-19. Les informations recueillies lors de ces campagnes seront éventuellement utilisées pour développer ou produire des articles et des stratégies internes, comme des vaccins, des mesures d’atténuation pour contourner les sanctions, le financement des programmes d’armement du pays, etc. Des informations supplémentaires continuent d’être collectées afin de déterminer l’étendue des activités de ces groupes et de rationaliser leurs opérations. La capacité à voir à travers le brouillard intentionnel laissé par les dirigeants nord-coréens et à identifier les modèles de ciblage qui s’alignent sur les unités physiques permet une défense proactive contre ces cyber-opérateurs. Cet effort est essentiel dans un pays où le monde extérieur ne sait pas grand-chose, et les rapports des réfugiés complétés par des cyber-opérations peuvent y contribuer.