Un groupe de pirates informatiques soutenu par la Corée du Nord, appelé Kimsuky, a utilisé ChatGPT pour créer une fausse carte d'identité militaire sud-coréenne et a lancé une attaque de phishing ciblant des journalistes, des chercheurs et des défenseurs des droits de l'homme, selon la société de cybersécurité Genians.
Le courriel contenant l'identifiant falsifié renfermait un logiciel malveillant conçu pour dérober des informations sur les appareils des destinataires. Cette campagne s'inscrit dans un schéma plus large d'opérations informatiques nord-coréennes utilisant l'intelligence artificielle à des fins d'espionnage international.
Le courriel d'hameçonnage était conçu pour faire croire qu'il provenait d'un véritable compte militaire, se terminant par .mil.kr. Il ne contenait aucune pièce jointe photo ni image de la pièce d'identité. En revanche, il dissimulait un code malveillant prêt à infecter le système de la cible.
Genians a confirmé que la fausse carte d'identité militaire avait été générée à l'aide de ChatGPT après avoir contourné les restrictions de la plateforme. Lorsqu'on lui a demandé de générer directement la carte, l'outil a d'abord refusé. Mais les chercheurs sont parvenus à contourner le blocage en modifiant la formulation de l'invite.
Une fois le message réécrit, le système a produit une ébauche convaincante, suffisante pour inciter les victimes à cliquer sur le logiciel malveillant intégré.
Les outils d'IA aident les pirates informatiques nord-coréens à créer de faux CV, dedentidentités et des logiciels malveillants
Cette stratégie ne se limitait pas à la Corée du Sud. En août, la société d'intelligence artificielle Anthropic a déclaré avoir découvert que des pirates informatiques nord-coréens utilisaient son modèle Claude Code pour postuler à des emplois à distance auprès d'entreprises américaines figurant au classement Fortune 500.
Les pirates ont utilisé Claude pour réussir des entretiens d'embauche techniques, se créer des CV complets et même réaliser des missions techniques après leur embauche. Cette opération a permis à la Corée du Nord d'accéder directement aux systèmes d'entreprises américaines sans avoir à franchir de pare-feu.
En février, OpenAI a banni des comptes liés à la Corée du Nord qui avaient utilisé ses outils pour créer de faux CV, lettres de motivation et publications sur les réseaux sociaux. Ces profils étaient conçus pour inciter des personnes, consciemment ou non, à soutenir les campagnes du régime.
Mun Chong-hyun, directeur chez Genians, a déclaré que ces nouvelles techniques montrent comment la Corée du Nord a désormais intégré l'IA à chaque étape du processus de piratage, de la planification et de la création d'outils au phishing et à l'usurpation d'identité.
« Les attaquants peuvent utiliser l'IA pour cartographier des scénarios, concevoir des logiciels malveillants et même se faire passer pour des recruteurs », a déclaré Mun. Le gouvernement américain a affirmé que les efforts de la Corée du Nord en matière de cyberdéfense s'inscrivent dans une opération de plus grande envergure.
Ils pensent que le régime de Pyongyang utilise le piratage informatique, le vol de cryptomonnaies et lestracinformatiques clandestins pour collecter des données, recueillir des renseignements et générer des fonds afin de soutenir son programme d'armement nucléaire tout en contournant les sanctions internationales.
En 2020, le département américain de la Sécurité intérieure a publié un avis officiel décrivant Kimsuky comme étant « très probablement chargé par le régime nord-coréen d'une mission de collecte de renseignements à l'échelle mondiale »
Ce groupe est actif depuis 2012 et concentre ses attaques sur des experts en politique étrangère, des groupes de réflexion et des agences gouvernementales en Corée du Sud, au Japon et aux États-Unis.
Le plus souvent, ils utilisent des courriels d'hameçonnage ciblés pour accéder aux systèmes,tracdes informations sensibles et tracles discussions de haut niveau concernant la stratégie nucléaire, les sanctions et la sécurité régionale.
Des responsables américains et sud-coréens mettent en garde contre une menace croissante
Le rapport a également confirmé que les dernières victimes avaient été soigneusement choisies. Les pirates informatiques ont ciblé des personnes ayant des tron avec les questions relatives à la Corée du Nord, comme des militants, des journalistes et des chercheurs en défense. On ignore encore combien d'appareils ont été compromis.
Mais le fait qu'ils aient réussi à usurper un domaine de messagerie militaire sud-coréen et à insérer un logiciel malveillant dans un message apparemment inoffensif montre à quel point cette méthode est dangereuse.
Au cours de l'enquête, Genians a tenté de reproduire la méthode des pirates informatiques en utilisant eux-mêmes ChatGPT. Leur expérience a confirmé que, bien que ChatGPT soit conçu pour bloquer les contenus illégaux tels que les faux documents d'identité officiels, les attaquants parvenaient à le contourner en modifiant légèrement le langage.
Le résultat final fut un modèle de carte d'identité qui ne paraissait pas suspect jusqu'à ce qu'il soit trop tard.
La CISA, le FBI et la CNMF ont appelé toutes les personnes travaillant dans des domaines sensibles liés à la Corée du Nord à renforcer leur sécurité. Elles ont averti que Kimsuky continue d'utiliser l'hameçonnage, de faux comptes de recruteurs et des noms de domaine usurpés pour s'infiltrer dans les réseaux.
Leurs principales suggestions consistent à activer l'authentification multifacteurs, à déployer des formations de sensibilisation au phishing et à mettre en place des filtrestronpour les courriels suspects.
Les services de renseignement américains affirment depuis longtemps que les cyberopérations sont désormais l'un des principaux outils utilisés par la Corée du Nord pour contourner les sanctions.
