Aperçu des opérations d’APT 45
Mandiant, une société de cybersécurité de renommée mondiale, a récemment classé un groupe de pirates informatiques nord-coréens sous le nom d’APT 45 comme une menace sérieuse pour la cybersécurité mondiale. L’acronyme APT signifie « Advanced Persistent Threat » (menace persistante avancée), un terme utilisé pour décrire des groupes de cyber-espionnage sophistiqués, souvent soutenus par des États-nations. APT 45 est particulièrement notable en raison de ses méthodes avancées et de son objectif stratégique : infiltrer des réseaux gouvernementaux et industriels pour obtenir des informations sensibles. Depuis 2009, APT 45 a mené des campagnes d’espionnage alignées sur les intérêts géopolitiques nord-coréens.
Le groupe APT 45 utilise une variété de techniques de piratage pour atteindre ses objectifs, notamment le phishing, les exploits de logiciels et les attaques de type zero-day, qui exploitent des vulnérabilités non encore découvertes par les développeurs. Leurs cibles incluent principalement des institutions financières, des entreprises de défense et des agences gouvernementales, soulignant une stratégie bien planifiée visant à déstabiliser des secteurs critiques et à collecter des informations précieuses. En 2016, APT 45 a utilisé le malware RIFLE pour cibler une organisation financière sud-coréenne, et en 2021, ils ont mené une attaque de spear-phishing contre une banque sud-asiatique.
Les chercheurs de Mandiant ont observé que les attaques d’APT 45 sont souvent très sophistiquées, impliquant des malwares complexes et des tactiques de camouflage avancées pour éviter la détection. Cette sophistication technique, combinée à une motivation politique claire, rend APT 45 particulièrement dangereux et difficile à contrer. En 2019, le groupe a ciblé des installations de recherche nucléaire et des centrales nucléaires, comme la centrale nucléaire de Kudankulam en Inde, démontrant leur capacité à menacer des infrastructures critiques.
Opération à visée financière et déploiement de ransomware
Au fil du temps, APT 45 a étendu ses opérations vers des activités motivées par des gains financiers. Le groupe est suspecté d’avoir développé et déployé des ransomwares, ce qui le distingue des autres opérateurs nord-coréens tels que TEMP.Hermit et APT 43. En 2021, Kaspersky a rapporté l’identification du ransomware SHATTEREDGLASS utilisé par des clusters suspects d’APT 45. Bien que Mandiant ne puisse confirmer l’utilisation de ransomwares par APT 45, il est plausible qu’ils aient employé diverses stratégies pour générer des revenus.
En 2022, l’Agence de Cybersécurité et de Sécurité des Infrastructures des États-Unis a signalé l’utilisation du ransomware MAUI par des acteurs parrainés par l’État nord-coréen pour cibler les secteurs de la santé publique. Cette expansion vers des opérations financièrement motivées reflète l’évolution des priorités stratégiques de la Corée du Nord face aux sanctions économiques et à la pression internationale.
APT 45 a également été impliqué dans le vol de propriété intellectuelle pour combler les lacunes technologiques domestiques. En septembre 2020, le groupe a ciblé la division des sciences agricoles d’une multinationale, probablement en réponse à la détérioration de la production agricole due à la fermeture des frontières pendant la pandémie de COVID-19. En outre, APT 45 a continué de cibler le secteur de la santé et des produits pharmaceutiques bien après les premières phases de la pandémie, suggérant une mission continue de collecte d’informations pertinentes pour la gestion de la crise sanitaire en Corée du Nord.
