Une campagne de cyberespionnage récemment découverte a révélé jusqu’où les pirates informatiques parrainés par l’État nord-coréen sont prêts à aller pour voler des secrets militaires. Les chercheurs ont confirmé que le Lazarus groupe, une organisation de piratage liée aux services de renseignement de Pyongyang, a ciblé plusieurs entreprises de défense à travers l’Europe au début de 2025.
L’opération, que les experts en cybersécurité ont surnommée Operation DreamJob, s’est concentrée sur les entreprises impliquées dans le développement de véhicules aériens sans pilote (UAV), de composants de drones et de technologies aérospatiales. Ce n’étaient pas des victimes aléatoires. Ils étaient profondément intégrés dans la chaîne d’approvisionnement de la défense européenne, y compris les entreprises fournissant des équipements et des logiciels utilisés dans les opérations militaires en cours.
Selon la société ESET de sécurité, l’objectif principal des pirates était de voler des plans propriétaires, des conceptions de systèmes et de la documentation technique qui pourraient aider la Corée du Nord à faire progresser ses propres programmes d’armement.
Au lieu d’utiliser des attaques par force brute ou d’exploiter des vulnérabilités logicielles connues pour s’infiltrer, le groupe s’est appuyé sur quelque chose de beaucoup plus efficace, à savoir l’ingénierie Lazarus sociale.
Les enquêteurs ont découvert que les attaquants se faisaient passer pour des recruteurs d’entreprises de défense et de technologie bien connues. Ils ont envoyé des offres d’emploi qui semblaient légitimes, souvent pour des postes d’ingénierie ou de développement de haut niveau. Ces messages comprenaient des pièces jointes déguisées en descriptions de poste ou en documents techniques inoffensifs.
En réalité, les attaches étaient utilisées comme armes. Les victimes qui ont ouvert les documents sans le savoir ont exécuté des fichiers trojanisés conçus pour installer des logiciels malveillants sur leurs systèmes. Les pirates ont utilisé une technique sophistiquée connue sous le nom de DLL sideloading, qui permettait à un code malveillant de s’exécuter en même temps que des logiciels légitimes. Cette approche a permis au logiciel malveillant d’éviter d’être détecté par les outils antivirus.
Une fois le fichier infecté ouvert, un chargeur personnalisé a discrètement déployé un outil d’accès à distance (RAT) appelé ScoringMathTea, donnant aux pirates le contrôle total de l’ordinateur compromis. À partir de là, Lazarus les agents pouvaient espionner les communications internes, copier des fichiers et explorer les systèmes connectés sur le réseau de l’entreprise.
Dans certains cas, une autre variante connue sous le nom de BinMergeLoader a été utilisée pour extraire des charges utiles supplémentaires du cloud à l’aide de l’API Graph de Microsoft, se fondant de manière transparente dans le trafic normal et rendant encore plus difficile le traçage pour les enquêteurs.
Les drones étaient la cible parfaite
Le choix des victimes n’a pas été fait au hasard. Au cours des dernières années, les drones sont devenus un élément déterminant de la guerre et de la surveillance modernes. Pour des pays comme la Corée du Nord, l’accès à la technologie occidentale des drones est un avantage stratégique majeur.
En brisant des entrepreneurs de la défense européenne, Lazarus probablement dans le but de recueillir des renseignements sur les systèmes de contrôle des drones, les algorithmes de ciblage et les processus de fabrication. Ces informations pourraient aider Pyongyang à reproduire ou à adapter des technologies similaires au niveau national.
Au moins une des entreprises ciblées aurait fourni des pièces ou des logiciels utilisés dans des drones déployés en Ukraine. Pour la Corée du Nord, qui a développé son propre programme de drones et aurait fourni un soutien en armes à la Russie, le vol de ce type d’informations techniques sert à la fois des objectifs militaires et politiques.
Selon les experts, les données volées pourraient également aider la Corée du Nord à renforcer ses programmes de cyberguerre et de missiles, des domaines où l’innovation technologique a longtemps été limitée par les sanctions internationales.
L’analyse d’ESET a révélé que l’opération Lazarus a commencé vers mars 2025 et qu’elle était toujours active des mois plus tard. Trois entreprises confirmées, situées en Europe centrale et du Sud-Est, ont été compromises ou ciblées.
Les pirates ont fait preuve de patience et de professionnalisme. Ils n’ont pas tenté de détruire des données ou de demander une rançon aux systèmes. Au lieu de cela, ils ont agi discrètement, à la recherche d’un accès et d’informations qui pourraient être précieux à long terme.
Bien que les détails spécifiques du vol de données n’aient pas été rendus publics, les chercheurs ont confirmé qu’il Lazarus avait réussi à infiltrer au moins un réseau, exfiltrant des fichiers de conception sensibles et des communications internes.
Les enquêteurs ont également noté que les outils utilisés dans cette campagne ressemblaient à ceux des opérations précédentes Lazarus . Le groupe réutilise souvent le code et l’infrastructure, en les modifiant pour éviter d’être détectés. Cette continuité, combinée à des signatures uniques de logiciels malveillants et à des serveurs de commande et de contrôle, a aidé les chercheurs à attribuer la campagne avec Lazarus une grande confiance.
Lazarus a été lié à certains des cyberincidents les plus médiatisés au monde
Cet incident s’inscrit dans un schéma plus large de la dépendance de la Corée du Nord à l’égard du cyberespionnage pour contourner les sanctions internationales. Incapable d’importer des technologies de pointe par des moyens légitimes, le pays a transformé le piratage en une recherche alternative et une source de revenus.
Au cours de la dernière décennie, Lazarus a été lié à certains des cyberincidents les plus médiatisés au monde, du piratage de Sony Pictures en 2014 à l’épidémie de ransomware WannaCry en 2017, et plus récemment, to massive cryptocurrency thefts worth billions of dollars . La capacité du groupe à passer des crimes financiers à l’espionnage ciblé démontre sa flexibilité et son soutien à l’État profond.
Selon les experts, il Lazarus ne s’agit pas seulement d’un syndicat criminel, mais d’une opération hybride qui sert à la fois l’appareil de renseignement du gouvernement nord-coréen et son besoin de devises fortes. L’opération européenne de drones montre que sa mission a évolué, passant de la génération de fonds au soutien direct d’objectifs militaires et stratégiques.
L’humain est souvent le maillon faible
La Lazarus campagne nous rappelle brutalement que dans le paysage actuel de la cybersécurité, les personnes sont souvent le maillon faible. Même les entrepreneurs de défense les plus avancés peuvent être victimes lorsque les attaquants exploitent la confiance au lieu de la technologie.
Les entreprises des secteurs sensibles (par exemple, l’aérospatiale, la défense, l’énergie) doivent désormais supposer qu’elles sont des cibles potentielles pour les pirates informatiques soutenus par l’État. Cela signifie renforcer à la fois les défenses techniques et la sensibilisation des employés.
Les escroqueries liées au recrutement, comme celles Lazarus utilisées, sont de plus en plus courantes. Les organisations doivent vérifier toutes les offres d’emploi ou de partenariat non sollicitées, appliquer des contrôles stricts de la pièce jointe et former le personnel à reconnaître les tactiques d’ingénierie sociale. L’authentification multifactorielle et la segmentation du réseau peuvent limiter les dommages en cas de violation.
La surveillance des chaînes d’approvisionnement logicielles est tout aussi importante. Lazarus montre comment les attaquants abusent des logiciels légitimes pour diffuser des logiciels malveillants. Des contrôles réguliers de l’intégrité du code et des processus de vérification des logiciels peuvent aider à détecter ces altérations avant qu’elles n’atteignent les appareils des employés.
Pour les entreprises de défense européennes, cette campagne est un avertissement que les frontières nationales offrent peu de protection contre le cyberespionnage. Les attaquants disposant de ressources gouvernementales et d’objectifs à long terme sont patients et délibérés. Ils ne recherchent pas des gains rapides, mais des avantages stratégiques.
Pour la Corée du Nord, la campagne souligne comment les cyberopérations sont devenues une partie intégrante de sa politique nationale. En volant plutôt qu’en développant la technologie, le régime peut combler le fossé entre lui et les nations plus avancées, même sous sanctions.
Le Lazarus succès continu du Groupe met également en lumière une réalité troublante. Malgré des années d’exposition et de suivi, ils restent l’un des collectifs de piratage les plus persistants et les plus adaptatifs au monde. Leurs tactiques continuent d’évoluer, et tant qu’ils continueront à trouver de nouvelles façons d’exploiter la confiance humaine, ils resteront une menace redoutable.
Les attaques de drones en Europe ne sont que le dernier rappel que dans le monde de la cyberguerre, l’arme la plus dangereuse n’est pas un missile ou un drone, c’est un e-mail bien conçu qui atterrit dans la bonne boîte de réception.