Un voleur par effraction qui laisse son adresse, c’est ballot, surtout pour un groupe considéré comme l’un des plus sophistiqués du paysage de la menace étatique. C’est pourtant ce que viennent de découvrir les traqueurs de WithSecure, qui ont réussi à établir un lien entre une campagne de cyberattaques visant la recherche médicale et les entreprises du secteur de l’énergie et le fameux groupe ATP Lazarus, lié à la Corée du Nord. Ceci après qu’un membre s’est rendu coupable d’une des pires bourdes possibles pour un hacker : laisser son adresse IP. L’incident était également parsemé des caractéristiques de campagnes récentes attribuées au groupe Lazarus par d’autres chercheurs, ce qui a orienté les recherches dans cette direction. Lazarus Group est bien connu du paysage de la menace persistante avancée (APT), souvent associé à des cyberattaques parrainées par l’État nord-coréen. On pense généralement que Lazarus fait partie du Bureau du renseignement extérieur et de la reconnaissance de la Corée du Nord. Le groupe est actif depuis au moins 2009 et a été lié à un certain nombre d’attaques très médiatisées, notamment l’attaque de 2014 contre Sony Pictures, l’attaque de 2016 contre la Bangladesh Bank et l’attaque par le rançongiciel WannaCry en 2017 ou Colonial Pipeline en 2021. Ces attaques ont entraîné le vol de millions de dollars, d’informations sensibles et ont provoqué de graves perturbations aux victimes. Le groupe Lazarus est largement considéré comme l’un des groupes APT les plus dangereux en activité.
Une adresse IP appartenant à la Corée du Nord
Les chercheurs ont donc découvert la dernière campagne du groupe après qu’une attaque par rançongiciel a été détectée dans une organisation protégée par la plateforme de sécurité WithSecure Elements. Un élément en particulier a orienté les chercheurs vers la Corée du Nord : les attaquants ont brièvement utilisé l’une des adresses IP appartenant à la Corée du Nord, celle-ci en possède moins de mille.