Il a été rapporté que la Corée du Nord recrute des freelances pour utiliser leurs identités afin d’obtenir des postes dans l’informatique, un changement de stratégie par rapport à leur méthode précédente consistant à utiliser des identités fabriquées pour obtenir des postes à distance. Cette stratégie inclut désormais des contacts directs avec des freelances potentiels sur des plateformes de recrutement telles qu’Upwork, Freelancer et GitHub, déplaçant la conversation vers Telegram ou Discord. Là, les freelances sont aidés pour installer des outils d’accès à distance et vérifier leurs identités.
Identités Proxy dans les Opérations IT
Heiner Garcia, expert en renseignement sur les menaces cybernétiques chez Telefonica et chercheur en sécurité blockchain, a révélé que les opérateurs nord-coréens contournent désormais les obstacles de vérification en collaborant avec des utilisateurs légitimes qui offrent un accès à distance à leurs systèmes. Fait intéressant, ces utilisateurs ne reçoivent que 20% des gains, le reste étant redirigé vers les opérateurs via des cryptomonnaies ou des comptes bancaires réguliers.
En exploitant des identités réelles et des connexions internet locales, ces opérateurs IT contournent efficacement les mécanismes conçus pour signaler certaines régions comme à haut risque et identifier l’utilisation de VPN. Cette mise à jour des tactiques illustre un changement significatif dans la manière de travailler des opérateurs IT nord-coréens et montre une sophistication accrue pour éviter la détection.
Tromper les Freelances en leur Faisant Faire des Tâches Illégales
Au début de cette année, Garcia a créé une entreprise crypto fictive et a conduit une interview avec un opérateur nord-coréen prétendant rechercher un emploi technique à distance. L’interviewé prétendait être japonais mais a soudainement mis fin à l’appel lorsqu’on lui a demandé de se présenter en japonais. Tous ces exemples réels montrent que de nombreux individus sont trompés pour agir inconsciemment comme des proxies pour les opérateurs nord-coréens. Ils croient participer à des accords de sous-traitance normaux.
Victimes et Auteurs de l’Arnaque
Les enregistrements de journaux de discussion examinés suggèrent que ces proxies recrutés ne sont généralement pas eux-mêmes techniquement compétents. Ils posent des questions de base sur les affaires, ne font aucun travail technique eux-mêmes et laissent l’opérateur travailler et livrer en leur nom. Bien que beaucoup semblent être des victimes inconscientes de la situation, quelques-uns montrent une connaissance complète de leur implication dans le stratagème.
Matthew Isaac Knoot, de Nashville, a été arrêté par le ministère de la Justice américain en août 2024 pour avoir dirigé une ferme de laptops permettant aux opérateurs IT nord-coréens de lancer leurs opérations tout en semblant être des employés basés aux États-Unis utilisant des identités volées. Dans une affaire identique, Christina Marie Chapman, en Arizona, a été condamnée à plus de huit ans de prison pour avoir géré une opération similaire qui a acheminé plus de 17 millions de dollars vers la Corée du Nord.
Acquérir un Ancrage Corporatif
La Corée du Nord aurait tenté depuis des années d’infiltrer les industries technologiques et de crypto pour générer des revenus et sécuriser des ancrages corporatifs en dehors de ses frontières. Cette dernière stratégie consistant à utiliser les identités des freelances n’est qu’un autre jalon factuel de cette trajectoire. Ces tâches informatiques, ainsi que le vol de crypto, selon les Nations Unies, financent les programmes de missiles et d’armement du pays.
Au-Delà de la Crypto
Les recherches de Garcia et les rapports suivants suggèrent que l’utilisation des identités des freelances ne se limite pas au monde de la crypto. Elle s’étend à tout emploi auquel ces opérateurs peuvent accéder, y compris l’architecture, le design, le service clientèle, etc. La détection de ces actes néfastes n’intervient généralement qu’après qu’un comportement inhabituel déclenche les mécanismes de détection, pour que l’opérateur passe alors à une nouvelle identité et continue le cycle.
Points Clés
Aussi fastidieux que cela puisse paraître, ce remaniement des identités complique l’attribution et la poursuite des individus vraiment responsables. Les personnes dont les identités sont utilisées sont souvent trompées, tandis que la personne réelle derrière le clavier opère depuis un autre pays et reste invisible pour les plateformes de freelance et les clients. La variable clé dans toutes ces opérations est la demande d’installation de logiciels d’accès à distance ou de laisser quelqu’un travailler depuis votre compte vérifié – un processus d’embauche légitime n’exigerait pas le contrôle de votre appareil ou de votre identité.
