Des pirates informatiques nord-coréens ciblent des travailleurs indépendants sur Upwork et GitHub

Des agents nord-coréens ont « diversifié » leurs méthodes d'escroquerie en utilisant des plateformes de travail indépendant et d'hébergement de code qui recrutent des utilisateurs sans méfiance commedent-noms pour des emplois techniques à distance, selon des chercheurs en cybersécurité. 

Des travailleurs informatiques de la République populaire démocratique de Corée (RPDC) utilisent Upwork, Freelancer et GitHub pour se faire passer pour des travailleurs légitimes et contourner les sanctions internationales en utilisant des comptes vérifiés appartenant à de vraies personnes.

Selon Heiner García Pérez, chercheur en cybersécurité et membre de SEAL Intel, les pirates informatiques commencent par publier des offres d'emploi freelance ou par contacter des candidats, puis déplacent les conversations vers des canaux cryptés comme Telegram ou Discord, où ils fournissent des instructions détaillées sur la manière de configurer l'accès à distance et les contrôles de vérification.

Des acteurs malveillants de la RPDC utilisent des travailleurs indépendants pour contourner les sanctions

Garcia a découvert que les agents de la RPDC peuvent contourner les filtres géographiques, les contrôles d'dentdentdentdentdentdentdentdentdent. 

Cela leur permet de postuler à des emplois informatiques à distance ou de les effectuer sous unedentvolée ou empruntée, dissimulant ainsi leur origine tout en percevant des paiements de clients sans méfiance. 

« Ces acteurs sont organisés, coordonnés et partagent des schémas opérationnels. La constance de leurs méthodes montre qu'il s'agit d'un système reproductible et soutenu par l'État », a écrit le membre du renseignement des SEAL.

Comme a rapporté l' Cryptopolitan en août, plusieurs informaticiens nord-coréens ont infiltré des entreprises internationales en utilisant de faussesdent. Cela aurait permis aux autorités de la RPDC de déployer à l'étranger des professionnels de l'informatique travaillant à distance, afin d'obtenir des postes de freelance ou de contractueltracde faussesdent, en utilisant des sociétés écrans pour masquer leur affiliation.

Ceux dont l'dentest utilisée ne reçoivent qu'environ 20 % des gains totaux, tandis que les opérateurs conservent 80 %, transitant par des portefeuilles de cryptomonnaies ou même des comptes bancaires traditionnels. 

Utilisation de l'IA pour manipuler des images et des noms d'entreprises

L'enquête de García Pérez a mis au jour plusieurs comportements témoignant d'une grande sophistication technique et d'une dissimulation délibérée. Dans un cas précis, un informaticien avait créé un dossier Google Drive intitulé « Mes photos », où étaient stockés des portraits retouchés par intelligence artificielle, ainsi que des dossiers portant le nom d'autres personnes. Il pense que ces documents numériques constituent des identités distinctes gérées par un seul et même opérateur.

Les fichiers récupérés sur le disque dur offraient un aperçu plus détaillé des processus de recrutement et de paiement. Un fichier intitulé « Compte » contenait des instructions expliquant comment accéder à Upwork, l’objectif de la collaboration et la répartition des bénéfices. 

Certains dossiers portaient des noms en coréen, comme « it개발 매칭 플랫폼 사이트 », ce qui se traduit par « Site de mise en relation pour le développement informatique ». L'enquêteur a avancé que ces documents étaient destinés aux « utilisateurs coréanophones et à l'écosystème informatique national »

Heiner García Pérez a également constaté que des acteurs nord-coréens exploitent des communautés en ligne pour personnes handicapées, des portails de mise en relation d'emplois et même des sites web d'amitié tels qu'InterPals pour recruter des collaborateurs.

Les paiements transitent par les cryptomonnaies, PayPal et les banques

Les cibles idéales de telles opérations se situent principalement aux États-Unis, en Europe et dans certaines régions d'Asie. Toutefois, l'Ukraine et les Philippines étaient les régions les plus fréquemmentdentdans les documents de recrutement, car elles abritent, de par leur situation géographique, des candidats issus de milieux à faibles revenus potentiellement plus réceptifs aux promesses de gains rapides

« Lorsqu'un client publie un projet, de nombreux freelances y répondent. Le client discute ensuite de son projet avec les freelances et le confie au développeur sélectionné. Si je le souhaite, je peux travailler sur le projet du client. Une fois le projet terminé, je suis payée par le client. L'argent est crédité sur mon compte freelance », expliquait un recruteur informatique à une utilisatrice de compte freelance nommée « Ana »

La structure de partage des profits entre les opérateurs et les collaborateurs est convenue dès le début de l'échange. Dans la plupart des cas documentés, les informaticiens incitent les victimes à utiliser les cryptomonnaies, PayPal, voire les virements bancaires.

Dans un cas avéré, un informaticien nord-coréen a utilisé un compte Upwork frauduleux enregistré sous l'dentd'un architecte basé dans l'Illinois.