Le groupe d'analyse des menaces (TAG) de Google a révélé que des pirates informatiques nord-coréens lancent une fois de plus des attaques contre des chercheurs en sécurité. Ces attaques impliquent l'utilisation d'au moins un exploit zero-day dans un logiciel largement utilisé, bien que les détails spécifiques n'aient pas été divulgués. Les chercheurs ciblés sont impliqués dans la recherche et le développement de vulnérabilités, ce qui en fait des cibles précieuses pour les attaques parrainées par l’État.

Les attaquants utilisent les plateformes de médias sociaux telles que Twitter et Mastodon pour établir le contact avec les chercheurs en sécurité. Ils tentent ensuite de les convaincre de passer aux plateformes de messagerie cryptées comme Signal, Wire ou WhatsApp. Une fois la communication établie sur ces canaux sécurisés, les attaquants envoient des fichiers malveillants exploitant la vulnérabilité du jour zéro.

La charge utile déployée sur les systèmes des chercheurs vérifie si elle s'exécute sur une machine virtuelle et collecte des informations, notamment des captures d'écran, qui sont ensuite envoyées aux serveurs de commande et de contrôle des attaquants. Les attaquants utilisent également l'outil GetSymbol, initialement destiné à l'ingénierie inverse, pour télécharger et exécuter du code.

Il est recommandé aux personnes qui ont téléchargé ou exécuté l'outil GetSymbol de prendre des précautions pour s'assurer que leurs systèmes sont dans un état de propreté connu et peuvent nécessiter une réinstallation du système d'exploitation.

Cette campagne est similaire à une précédente identifiée en janvier 2021, qui ciblait également les chercheurs en sécurité utilisant les plateformes de médias sociaux. Dans ce cas, les attaquants ont infecté les systèmes Windows 10 entièrement corrigés des chercheurs avec des portes dérobées et des logiciels malveillants volant des informations.

L’objectif principal de ces attaques semble être l’acquisition de vulnérabilités et d’exploits de sécurité non divulgués. En ciblant des chercheurs spécifiques, les pirates informatiques visent à accéder à des informations précieuses qui pourraient être utilisées pour d'autres activités malveillantes.

Il est important que les chercheurs en sécurité et les individus de la communauté de la cybersécurité restent vigilants et prennent les précautions nécessaires pour se protéger contre de telles attaques ciblées.

