Rapport GTIG : La Corée du Nord intensifie ses opérations cyber en Europe - via de faux travailleurs informatiques

avril 2025 par Google

Depuis le dernier rapport du GTIG en septembre 2024 sur cette menace, les récentes mesures répressives aux États-Unis ont conduit à une intensification des activités en Europe ces derniers mois. Il ne s’agit désormais plus uniquement d’un problème américain, comme le montre la dernière étude.

Le rapport détaille plusieurs aspects clés :

Ciblage des bases industrielles de défense et des gouvernements européens : Fin 2024, le GTIG a identifié un travailleur IT nord-coréen opérant sous au moins 12 identités différentes en Europe et aux États-Unis. Cette personne a cherché à obtenir un emploi auprès de plusieurs entreprises, notamment dans le secteur de la défense et auprès des gouvernements européens. Ses tactiques incluent la fabrication de fausses références, l’établissement de relations avec des recruteurs et l’utilisation de faux profils pour renforcer sa crédibilité.

Opérations au Royaume-Uni, en Allemagne et au Portugal : Les travailleurs IT nord-coréens ont été impliqués dans divers projets techniques pour des entreprises britanniques, notamment en développement web, en création de bots et en blockchain. Ils ont également obtenu des emplois en Allemagne et au Portugal et acquis des identifiants pour accéder à d’autres plateformes européennes de recrutement et de gestion des ressources humaines.

Facilitateurs en Europe : Plus inquiétant encore, des facilitateurs basés au Royaume-Uni ont été observés en train d’aider – peut-être involontairement – ces opérateurs à infiltrer des entreprises.

Une escalade des tentatives d’extorsion : Depuis fin octobre 2024, les travailleurs IT nord-coréens ont considérablement augmenté leurs activités d’extorsion. Certains employés récemment licenciés ont menacé de divulguer des données sensibles et du code source à la concurrence. Initialement concentrées sur des petites entreprises, ces attaques visent désormais de plus grandes organisations avec des demandes de rançon plus élevées.

Jamie Collier, Lead Threat Intelligence Advisor pour l’Europe au sein du Google Threat Intelligence Group, alerte :

« L’Europe doit réagir rapidement. Bien qu’elle soit dans la ligne de mire des opérations de ces travailleurs informatique nord-coréens, trop nombreux sont ceux qui continuent à percevoir ce problème comme uniquement américain. L’évolution des activités illicites nord-coréennes semble être une réponse aux obstacles rencontrés aux États-Unis, ce qui démontre leur capacité d’adaptation et leur agilité face aux nouvelles contraintes. »

« Depuis une décennie, la Corée du Nord mène de nombreuses attaques cyber variées – du ciblage du réseau SWIFT aux rançongiciels, en passant par le vol de cryptomonnaies et les compromissions de chaînes d’approvisionnement. Cette capacité d’innovation incessante témoigne d’un engagement de longue date à financer le régime par le biais des opérations cyber ».