NICKEL TAPESTRY
Recherche sur les menaces

NICKEL TAPESTRY étend ses activités basées sur des employés IT malveillants

Le programme nord-coréen impliquant des opérateurs IT s'étend pour inclure des organisations en Europe et en Asie et des secteurs au-delà de celui des technologiques.

Dans cet article, l’équipe X-Ops est ravie de présenter les recherches de nos collègues Sophos qui nous ont récemment rejoints en provenance de Secureworks, dont l’équipe CTU (Counter Threat Unit™) qui est un élément crucial.

Les employés IT nord-coréens demeurent une menace interne critique

Les chercheurs de l’équipe CTU (Counter Threat Unit™) continuent d’investiguer les techniques du groupe malveillant NICKEL TAPESTRY impliquant des employés malveillants agissant pour le compte de la Corée du Nord (anciennement connue sous le nom de République populaire démocratique de Corée/DPRK).

Les origines de cette campagne, publiquement connue sous le nom de Wagemole, remontent à 2018, bien que des liens entre les diverses infrastructures suggèrent que NICKEL TAPESTRY mène des opérations lucratives depuis au moins 2016. On a constaté une augmentation du ciblage des organisations européennes et japonaises dans le cadre de cette campagne, probablement en raison d’une sensibilisation accrue des entreprises basées aux États-Unis et des mesures prises pour lutter contre cette menace. Des employés malveillants postulant pour des jobs basés au Japon et aux États-Unis se sont fait passer pour des professionnels vietnamiens, japonais et singapouriens, en plus de se faire passer précédemment pour des professionnels américains.

Il existe des preuves suggérant que les acteurs malveillants adaptent leurs personas au fil du temps pour échapper aux détections. Les employés malveillants ont historiquement fait la promotion de leurs compétences en développement de logiciels de type Web et blockchain, mais postulent à des jobs dans de nombreux secteurs, et pas seulement dans les entreprises technologiques. En 2025, ils ont élargi leur champ d’action pour inclure les rôles liés à la cybersécurité et ont accru l’utilisation de personas féminins.

Bien que l’objectif principal des acteurs malveillants soit d’obtenir un salaire permettant de financer les intérêts du gouvernement nord-coréen, une méthode secondaire pour générer des revenus est l’extorsion par le vol de données. Plusieurs tentatives ont été signalées en 2024, ce qui a conduit à la diffusion d’un avis par le FBI (Federal Bureau of Investigation) américain en janvier 2025. L’extorsion résultant du vol de code source et de propriété intellectuelle est une menace permanente liée aux activités de NICKEL TAPESTRY, en particulier après le licenciement d’un employé malveillant. Le vol de données peut survenir dans les jours suivant l’embauche et n’être utilisé qu’à des fins de coercition après la fin de l’emploi en question.

De plus, les organisations sont exposées aux menaces internes traditionnelles liées aux activités menées par les employés malveillants nord-coréens. Cette activité peut inclure un accès non autorisé aux backends Cloud et API, ainsi que le vol d’identifiants et de connaissances institutionnelles telles que des secrets commerciaux. Il existe également le risque que l’accès obtenu par l’un de ces employés IT soit utilisé par d’autres groupes malveillants nord-coréens à des fins elles aussi malveillantes.

Tout au long de la phase de pré-embauche, les acteurs malveillants manipulent souvent numériquement des photos pour leurs CV et profils LinkedIn falsifiés, ainsi que pour illustrer leurs diverses expériences professionnelles ou les projets de groupe mis en avant. Ils utilisent généralement des photos d’archive superposées à de vraies images d’eux-mêmes. Les acteurs malveillants ont également accru l’utilisation de l’IA générative, notamment des outils d’écriture, d’édition d’image et des générateurs de CV.

Après avoir intégrés une entreprise, les employés malveillants ont utilisé des outils de type mouse jiggler, des logiciels VPN, des solutions de contournement pour biaiser les paramètres de police et de langue par défaut du système, et des systèmes de type KVM-over-IP (clavier, vidéo et contrôle de la souris à distance) pour obtenir un accès distant. Les organisations touchées ont également observé l’installation de plusieurs outils RMM (Remote Monitoring and Management) sur un seul système et l’utilisation d’appels Zoom longs (plus de huit heures) pour le partage d’écran. Certains employés malveillants ont constamment insisté pour obtenir la permission d’utiliser un ordinateur personnel plutôt qu’un ordinateur professionnel, évitant ainsi la nécessité de faire appel à un tiers pour recevoir un ordinateur portable en leur nom. Les appareils personnels font généralement l’objet de moins de contrôles en matière de sécurité au niveau de l’entreprise.

Les organisations doivent rester vigilantes

La mitigation de cette menace repose sur la vigilance humaine. Les chercheurs du CTU™ recommandent aux organisations d’établir des procédures de vérification d’identité renforcées dans le cadre de leur processus d’entretien. Le personnel des ressources humaines et les recruteurs doivent être régulièrement informés des tactiques utilisées dans ces campagnes pour les aider à identifier les employés IT nord-coréens potentiellement malveillants. En outre, les organisations doivent surveiller les activités au niveau des menaces internes traditionnelles, l’utilisation suspecte d’outils légitimes et les alertes de voyage pour détecter les activités souvent associées à ces employés.

Pendant la procédure d’entretien :

  • Exigez des candidats une preuve d’identité vérifiée, idéalement présentée physiquement au moins une fois.
  • Vérifiez la présence en ligne d’un candidat pour vérifier la cohérence de son nom, de son apparence, de ses antécédents professionnels et de sa formation.
  • Surveillez les candidats multiples utilisant des CV clonés ou les mêmes numéros de téléphone.
  • Recherchez les numéros de téléphone liés aux services de Voice-over-IP (VoIP) plutôt qu’aux services mobiles ou fixes.
  • Vérifiez l’historique professionnel via les canaux officiels plutôt qu’en utilisant les contacts fournis par le candidat, et confirmez que les adresses et les numéros de téléphone de l’entreprise correspondent bien aux sites Web officiels de cette dernière.
  • Lors des entretiens, posez des questions informelles sur le lieu de résidence du candidat, ses antécédents professionnels ou son parcours scolaire, en écoutant les réponses qui indiquent un manque d’expérience réelle ou qui contredisent ses affirmations (par exemple, ne pas connaître la météo actuelle dans son lieu de résidence présumé).
  • Méfiez-vous des compétences linguistiques en anglais de niveau débutant ou intermédiaire si un candidat prétend être véritablement un natif.
  • Menez des entretiens en personne ou par vidéo, en demandant au candidat de désactiver au moins temporairement les arrière-plans virtuels et autres filtrages numériques.
  • Effectuez des vérifications d’antécédents en faisant appel à une autorité de confiance.

Pendant l’intégration (onboarding) :

  • Vérifiez que l’identité de l’employé intégré correspond bien au candidat embauché.
  • Méfiez-vous des demandes de dernière minute visant à modifier l’adresse de livraison des ordinateurs portables professionnels et demandez aux services de livraison de ne pas autoriser la redirection vers une nouvelle adresse après l’expédition.
  • Méfiez-vous de l’insistance à utiliser un appareil personnel plutôt qu’un système mis à disposition par l’entreprise.
  • Vérifiez que les informations bancaires ne soient pas redirigées vers un service de transfert d’argent.
  • Examinez attentivement les demandes de dernière minute visant à modifier les informations de paiement de l’employé ou les demandes répétées sur une courte période visant à modifier les informations de compte bancaire.
  • Refusez les demandes de prépaiement.

Après l’embauche :

  • Limitez l’utilisation d’outils d’accès à distance non autorisés.
  • Limitez l’accès aux systèmes non essentiels. ​
  • Méfiez-vous des refus d’activer la vidéo pendant les appels, des inquiétudes injustifiées entourant les réunions en personne et du bruit de fond lors des appels vocaux qui pourraient suggérer que l’employé travaille depuis un centre d’appels ou une salle surpeuplée.
  • Surveillez l’ordinateur portable de l’employé à l’aide d’un antivirus et d’un logiciel EDR (Endpoint Detection and Response). Corrélez les connexions réseau via des services VPN, en particulier les services VPN résidentiels étrangers ou Astrill VPN.

La cybersécurité est un sport d’équipe, et d’autres chercheurs ont également étudié cette menace. Spur et Google ont publié des ressources utiles couvrant Astrill VPN et d’autres infrastructures utilisées par NICKEL TAPESTRY.

Billet inspiré de NICKEL TAPESTRY expands fraudulent worker operations, sur le Blog Sophos.