Un groupe de hackers lié à l’État nord-coréen a exploité les réseaux publicitaires en ligne exploités par la société technologique américaine Google et le portail web sud-coréen Naver pour diffuser des malwares à des utilisateurs non méfiants, selon un rapport de cybersécurité. La campagne, suivie par les chercheurs sous le nom d’« Opération Poséidon », utilisait des URL publicitaires légitimes pour créer des liens malveillants contournant les filtres de sécurité et dissimulant la distribution de malwares.
L’activité a été analysée par Genians Security Center , une société de cybersécurité basée en Corée du Sud. Le rapport attribue l’opération à Konni, un groupe de menaces persistantes avancé associé aux opérations cybernétiques soutenues par Pyongyang. Les chercheurs ont découvert que les attaquants ont intégré des mécanismes de diffusion de logiciels malveillants dans les systèmes de suivi des clics et de redirection publicitaires, qui font partie intégrante de l’infrastructure de la publicité en ligne.
Au lieu d’héberger des malwares sur des domaines manifestement malveillants, les attaquants utilisaient des chaînes de redirection qui commençaient par des liens publicitaires apparemment légitimes sur Google et Naver. Ces liens redirigeaient les victimes via une série de redirections avant d’atterrir sur des serveurs contrôlés par l’attaquant qui initiaient l’exécution de malwares. Cette méthode permettait aux liens d’échapper aux contrôles de sécurité conventionnels qui inspectent le trafic web à la recherche de menaces.
La charge utile de malware identifiée dans la campagne était EndRAT, un outil d’accès à distance livré sous une forme déguisée. Les attaquants ont utilisé un script AutoIt déguisé en fichier PDF inoffensif pour exécuter le malware sur les systèmes victimes. Les chercheurs ont noté que l’opération démontrait un certain niveau de sophistication technique, incluant des identifiants de développement suggérant une maintenance continue et une évolution de la boîte à outils utilisée par les hackers.
Une partie de la stratégie des attaquants consistait en des techniques d’ingénierie sociale pour accroître la perception de légitimité. Selon le rapport, les courriels associés à l’opération contenaient de longs blocs de texte anglais non pertinent conçus pour embrouiller les systèmes automatisés de détection et réduire la probabilité que les filtres signalent les messages comme malveillants.
L’analyse de Genians a relié l’activité observée aux campagnes précédentes de Konni, basée sur des chevauchements d’infrastructures et de composants de malwares. Le rapport indique que le groupe a un passé d’attaques par ingénierie sociale, y compris l’usurpation d’identité d’organisations telles que des groupes de défense des droits humains et des institutions financières en Corée du Sud.
Les chercheurs en sécurité ont documenté une tendance plus large des acteurs malveillants utilisant des plateformes de confiance et des flux de travail familiers pour diffuser des logiciels malveillants et échapper à la détection. Dans certains incidents récents liés à des groupes liés à la Corée du Nord, des acteurs malveillants ont également utilisé des outils comme les codes QR dans des campagnes de spear-phishing pour contourner les contrôles de sécurité des entreprises en dirigeant les victimes vers des contenus malveillants sur des appareils mobiles.
Cette opération met en lumière les défis liés à la sécurité des écosystèmes complexes de publicité en ligne contre les abus. Les plateformes publicitaires reposent souvent sur des mécanismes de redirection et de suivi qui peuvent être réutilisés par des acteurs malveillants pour dissimuler des activités nuisibles. Le rapport souligne la nécessité de capacités renforcées de surveillance et de détection des menaces capables d’identifier et de bloquer le trafic malveillant dans une infrastructure publicitaire à l’apparence légitime.
Le contexte plus large des opérations cybernétiques liées à l’État attribuées aux groupes nord-coréens inclut une gamme de tactiques telles que le spearphishing, la distribution de logiciels espions et l’exploitation des services de gestion d’appareils, illustrant un environnement de menace en évolution qui cible les utilisateurs et organisations web à travers le monde.