FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Kimsuky: l’oeil de Pyongyang dans la boîte mail de Séoul

    Kimsuky: l’oeil de Pyongyang dans la boîte mail de Séoul

    Écrit par
    Juliette Barrat
    25.11.25
    Cybercriminalité
    08
    MIN
    Kimsuky: l’oeil de Pyongyang dans la boîte mail de Séoul
    Kimsuky: l’oeil de Pyongyang dans la boîte mail de Séoul
    Kimsuky: l’oeil de Pyongyang dans la boîte mail de Séoul
    Image Europol coordonne le démantèlement du réseau d’hameçonnage Tycoon2FA
    Cybercriminalité
    09.03.26 Cybercriminalité
    Prochain article
    Europol coordonne le démantèlement du réseau d’hameçonnage Tycoon2FA
    Lire
    02
    MIN
    Image Le chef du gang de rançongiciel Phobos plaide coupable devant la justice américaine
    Cybercriminalité
    06.03.26 Cybercriminalité
    Prochain article
    Le chef du gang de rançongiciel Phobos plaide coupable devant la justice américaine
    Lire
    02
    MIN
    Image Dark web : du vol de bases clients à la revente d’accès, anatomie des données disponibles
    Cybercriminalité
    02.03.26 Cybercriminalité
    Prochain article
    Dark web : du vol de bases clients à la revente d’accès, anatomie des données disponibles
    Lire
    07
    MIN
    Image Fuite de données : des bénéficiaires du RSA exposés après un incident impliquant la CAF et les échanges interadministrations
    Cybercriminalité
    25.02.26 Cybercriminalité
    Prochain article
    Fuite de données : des bénéficiaires du RSA exposés après un incident impliquant la CAF et les échanges interadministrations
    Lire
    01
    MIN
    Depuis son apparition en 2012, Kimsuky est devenu un acteur central dans l’appareil cyber du régime nord-coréen. Excellent dans l’art du spear phishing, le groupe multiplie les campagnes d’espionnage, dont la sophistication croissante met à l’épreuve les experts en cybersécurité de Séoul à Washington. 

    Le général Park Yowon regarde fixement l’objectif. Le fond bleu de la photographie met en avant son treillis kaki, un treillis caractéristique de l’armée sud-coréenne. Rien ne dépasse sur cette photographie d’identité, apposée sur une carte militaire. Pourtant, le général Park Yowon n’existe pas. Il a été généré par l’intelligence artificielle, ChatGPT plus précisément; Ce par des opérateurs du groupe de cyberespionnage nord-coréen Kimsuky, dans l’espoir d’infiltrer le système d’information d’institutions militaires adverses via un mail de phishing

    Par cette campagne, Kimsuky a réussi une belle prouesse : il n’est normalement pas possible de générer de faux documents aussi sensibles avec ChatGPT. Pourtant, les métadonnées sont claires : ils ont bien été générés par cet outil. Les experts de Genians expliquent dans leur rapport publié le 16 septembre que, même si les requêtes pour créer de faux documents d’identité sont rejetés, il est possible d’y arriver en présentant les choses sous l’angle de l’esthétique ou du graphisme.

    Kimsuky est connu sous de nombreux autres noms : APT43, THALLIUM, Velvet Chollima, Black Banshee, Emerald Sleet,etc. Actif depuis 2012, le groupe a mené de nombreuses campagnes, principalement contre la Corée du Sud, mais a aussi ciblé le Japon, les États-Unis et l’Europe. Son activité est assez caractéristique des actions menées par le régime nord-coréen dans le cyberespace, auquel il est très probablement associé. 

    Un acteur incontournable du cyberespionnage nord-coréen

    Kaspersky est le premier à nommer Kimsuky dans un rapport de 2013, nom qui reste à ce jour le plus utilisé pour désigner ce groupe. Celui-ci vient d’un des pseudonymes d’enregistrement des boîtes de réception utilisées comme serveurs de commande et de contrôle, à savoir « kimsukyang ». L’intérêt de la communauté de la cybersécurité pour ce groupe a grandi entre 2019 et 2020, ce qui se traduit par la publication de nombreux rapports à ce sujet et une meilleure compréhension de cette cybermenace. Les observations se sont multipliées depuis, révélant une sophistication croissante de leurs outils et techniques, de la simple ingénierie sociale aux malwares avancés. 

    L’objectif principal de Kimsuky réside dans la collecte d’informations stratégiques qui s’alignent dans les intérêts de Pyongyang. Mandiant estime avec un haut degré de certitude que le groupe agit pour le régime nord-coréen et émet l’hypothèse qu’il pourrait même être affilié avec le Reconnaissance General Bureau (RGB), le principal bureau de renseignement extérieur de la Corée du Nord. Afin de recueillir des informations, il cible principalement des institutions militaires et gouvernementales, des groupes de réflexions, des universités et des organismes de presse principalement situés en Corée du Sud et aux États-Unis. Toutefois, Kimsuky s’est aussi déjà attaqué au Japon, à la Russie et à des pays européens. 

    Les cibles évoluent en fonction des intérêts géopolitiques de la Corée du Nord. Par exemple, entre 2020 et 2021, les campagnes de Kimsuky ont particulièrement ciblé le secteur de la santé. En pleine pandémie de Covid-19, cela est loin d’être un hasard. Le groupe est particulièrement intéressé par les entités du secteur de l’énergie, y compris les think tanks. Le but étant de surveiller ce qui est dit sur le programme nucléaire nord-coréen tout en collectant des informations stratégiques susceptibles de l’alimenter. Sur les autres cibles, les campagnes servent principalement à avoir de la visibilité sur ce qui est dit à propos du régime, mais aussi à anticiper la publication de données sensibles et de potentielles sanctions.

    Face à la virulence de Kimsuky, Washington et ses alliés ont imposé des sanctions au groupe, dénonçant ses pratiques de collecte d’informations et l’accusant de soutenir la politique étrangère du régime nord-coréen. L’effet de ces mesures est aujourd’hui très limité, notamment du fait que certains opérateurs pourraient être localisés à l’extérieur de la Corée du Nord. Un rapport de Trellix souligne le fait qu’une partie d’entre eux pourraient être basés en Chine. En effet, lors d’une campagne visant des ambassades étrangères à Séoul, les analystes ont noté une baisse d’activité à certaines périodes, correspondant à des jours fériés du calendrier chinois. Cette hypothèse a été confirmée par l’OFAC dans un communiqué de 2022, où l’agence précisait la localisation de certains opérateurs nord-coréens en Chine et en Russie, permettant aux groupes de cyberespionnage de contourner les sanctions.

    Une sophistication croissante

    D’année en année, Kimsuky a transformé ses attaques artisanales en une mécanique d’espionnage bien huilée. Le groupe se concentre sur le spear phishing pour s’introduire dans les systèmes d’information de ses cibles. Sa force réside dans sa capacité à rendre des mails crédibles : grâce à l’ingénierie sociale, ses opérateurs se sont distingués dans l’art de créer des personnages cohérents pour inviter les victimes à cliquer sur des liens piégés ou à télécharger des pièces jointes malveillantes. Des spécialistes ont pu analyser certaines pièces jointes : dans certains cas, il s’agissait de documents Word (.dotm) contenant des macros malveillantes qui exécutent des scripts et installent des backdoors. Ces documents sont bien conçus, avec des thèmes crédibles (lettre diplomatique, propos sur les droits de l’homme,etc.), ce qui améliore la crédibilité et donc les chances de succès. Cela permet de déployer furtivement la suite logicielle (modules backdoor, vol de données, keylogger). 

    Selon un rapport publié par l’équipe Nocturnus de Cybereason, les campagnes de Kimsuky ont été marquées par une sophistication croissante. Alors qu’à ses débuts, le groupe se limitait à quelques malwares, il déploie désormais une suite complète de logiciels malveillants. Cela lui permet de personnaliser les attaques selon la cible, de charger des composants seulement si nécessaire, ce qui rend l’analyse plus complexe. Cette montée en puissance se traduit aussi par l’utilisation du module «CSPY Downloader», équipé de techniques d’évasion. Celui-ci s’assure que l’environnement est “propice” avant de déployer le malware. Il est empaqueté avec UPX, utilise des certificats révoqués et contient des chemins de débogage (PDB) : autant d’éléments qui montrent que Kimsuky investit dans des techniques destinées à contourner les défenses classiques.

    Par ailleurs, les opérateurs de Kimsuky recourent à diverses techniques destinées à brouiller . Ils falsifient les horodatages de création des malwares (backdating), signent des fichiers avec des certificats révoqués, utilisent des chemins de debugging — autant de mesures qui compliquent considérablement les enquêtes. De plus, ils réutilisent des serveurs, des domaines déjà observés lors decampagnes passées (notamment BabyShark), ce qui assure une continuité tout en oscillant entre anciens et nouveaux outils.

    Des moyens financiers limités

    Comme beaucoup de groupes d’APT nord-coréennes, l’action de Kimsuky se trouve limitée par des moyens financiers restreints, car elle dépend du régime. Afin de le financer (et, par extension, de soutenir leurs activités d’espionnag), le groupe n’hésite pas à mener des activités cybercriminelles, qui se traduisent par le vol de cryptomonnaies via des cyberattaques. Entre 2017 et 2023, on estime que les groupes nord-coréens ont dérobé plus de 3 milliards de dollars en cryptomonnaie. Les opérateurs ont d’abord ciblé les entités sud-coréennes, avant d’élargir leur ciblage géographique. 

    Les groupes nord-coréens ne se contentent pas de dérober des cryptomonnaies : ils exploitent aussi des serveurs compromis pour y installer des logiciels de minage, notamment Monero, et générer ainsi des revenus supplémentaires. Une fois volés, ces actifs passent par un vaste réseau de blanchiment mis en place par Pyongyang, où ils sont convertis en monnaie fiduciaire ou utilisés pour acquérir biens et services. Les flux financiers transitent fréquemment par des casinos ou des plateformes d’échange illicites, afin de brouiller les pistes. Ces manœuvres font des cryptomonnaies détournées une source de financement essentielle pour le régime, à tel point que leur pillage pourrait couvrir jusqu’à 50 % des dépenses liées au programme de missiles balistiques nord-coréen. 

    Ces activités financières ne sont toutefois qu’une partie du tableau du système cyber nord-coréen : l’autre repose sur la collaboration entre les différents groupes. Kimsuky n’hésite pas à collaborer avec d’autres attaquants, comme le précise un rapport de Mandiant publié en  2022.Le groupe aurait notamment partagé temporairement certains outils et ressources, ce qui a parfois compliqué l’attribution des attaques et renforcé la confusion entre Kimsuky et d’autres entités, telles que Lazarus. Cela illustre néanmoins le rôle majeur joué par le groupe au sein de l’appareil cyber du régime nord-coréen.

    Juliette Barrat
    25.11.25
    Articles du même auteur :
    1
    24.02.26 Cyber +
    Route de la surveillance – épisode 5 : États-Unis, trouble jeu sur la cybersurveillance
    Lire
    10
    MIN
    2
    19.01.26 Cyber +
    Routes de la surveillance Épisode 4 : Italie, le marché florissant des logiciels espions transalpins
    Lire
    12
    MIN
    3
    16.01.26 Cybercriminalité
    MOA MuddyWater : une goutte d’eau au coeur de la stratégie de guerre douce de Téhéran
    Lire
    07
    MIN
    4
    08.01.26 Cyber +
    Récupération de données : de l’urgence au pilier stratégique de la résilience cyber
    Lire
    08
    MIN
    Image Europol coordonne le démantèlement du réseau d’hameçonnage Tycoon2FA
    Cybercriminalité
    09.03.26 Cybercriminalité
    Prochain article
    Europol coordonne le démantèlement du réseau d’hameçonnage Tycoon2FA
    Lire
    02
    MIN
    Image Le chef du gang de rançongiciel Phobos plaide coupable devant la justice américaine
    Cybercriminalité
    06.03.26 Cybercriminalité
    Prochain article
    Le chef du gang de rançongiciel Phobos plaide coupable devant la justice américaine
    Lire
    02
    MIN
    Image Dark web : du vol de bases clients à la revente d’accès, anatomie des données disponibles
    Cybercriminalité
    02.03.26 Cybercriminalité
    Prochain article
    Dark web : du vol de bases clients à la revente d’accès, anatomie des données disponibles
    Lire
    07
    MIN
    Image Fuite de données : des bénéficiaires du RSA exposés après un incident impliquant la CAF et les échanges interadministrations
    Cybercriminalité
    25.02.26 Cybercriminalité
    Prochain article
    Fuite de données : des bénéficiaires du RSA exposés après un incident impliquant la CAF et les échanges interadministrations
    Lire
    01
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.