Elle a également observé récemment une campagne en cours menée par Kimsuky, un groupe APT nord-coréen, visant les services d’information, les militants des droits de l’homme et les organisations de soutien aux défenseurs de la République populaire démocratique de Corée (RPDC).

Opération Magalenha
Au cours du premier trimestre 2023, SentinelLabs a observé une campagne ciblant les utilisateurs de plus de 30 institutions financières portugaises. Menée par un groupe de menace brésilien, cette campagne est la dernière itération d’une activité remontant à 2021.
En s’appuyant sur un arcenal de malwares, le groupe vole les identifiants, exfiltre les données et informations personnelles des utilisateurs et les utilise pour prendre le contrôle total des machines infectées. Le groupe de menace déploie simultanément deux variantes de portes dérobées à chaque fois pour optimiser la puissance de l’attaque. L’opération Magalenha se caractérise par des changements dans la conception de l’infrastructure, ainsi que dans la mise en œuvre et le déploiement de malwares. Pour garantir des opérations ininterrompues, le groupe de menaces a d’ailleurs transféré l’hébergement de son infrastructure à Timeweb Cloud, un fournisseur IaaS russe connu pour ses politiques indulgentes, plutôt que de s’appuyer sur des fournisseurs aux mesures plus strictes (tels que DigitalOcean ou Dropbox).
L’opération Magalenha montre la persévérance des acteurs de la menace brésiliens et leur capacité constante à mettre à jour leur arsenal de malwares et leurs tactiques, qui leur permet de rester efficaces. Au vu de leur connaissance du paysage financier des pays lusophones et hispanophones d’Europe, d’Amérique centrale et d’Amérique latine, il est crucial que les organisations et les particuliers, restent vigilants et prennent des mesures proactives pour se protéger.

Kimsuki
SentinelLabs a observé une campagne en cours menée par Kimsuky, un groupe APT nord-coréen, ciblant les services d’information les militants des droits de l’homme et les organisations de soutien aux défenseurs de la RPDC (République populaire démocratique de Corée). Actif depuis au moins 2012, le groupe se livre régulièrement à des campagnes ciblées de phishing et d’ingénierie sociale pour collecter des renseignements et obtenir un accès non autorisé à des informations sensibles, en accord avec les intérêts du gouvernement nord-coréen.
Ici, il s’est concentré sur la reconnaissance de fichiers et l’exfiltration d’informations sur les systèmes et le matériel, via une variante du malware RandomQuery que Kimsuky diffuse à l’aide de fichiers Microsoft Compiled HTML Help (CHM). Kimsuky utilise stratégiquement de nouveaux TLD (top-level domain) et noms de domaine pour l’infrastructure malveillante, imitant les TLD .com standard afin de tromper les cibles et les défenseurs du réseau.
Ces incidents soulignent l’évolution constante du paysage des groupes de menace nord-coréens, qui ont pour objectifs l’espionnage politique, mais aussi le sabotage et les menaces financières. La corrélation entre les récentes activités malveillantes et de précédentes opérations tenues secrètes attribuées à la Corée du Nord, souligne l’importance de maintenir un état d’alerte constant et d’encourager les efforts de collaboration.