Le groupe Lazarus en tête des mentions de piratage mondial alors que les attaques d'hameçonnage ciblé augmentent

Selon un rapport de la société de sécurité sud-coréenne AhnLab, des organisations de piratage liées à l'État comme le groupe Lazarus, soutenu par la Corée du Nord, ont largement utilisé l'hameçonnage ciblé pour voler des fonds et recueillir des renseignements au cours des 12 derniers mois. Le groupe s'est souvent fait passer pour des organisateurs de conférences, des contacts professionnels ou des collègues pour inciter les gens à ouvrir des fichiers ou à exécuter des commandes.

Groupe Lazarus : L'hameçonnage ciblé devient plus réaliste avec les leurres d'IA

Des rapports ont révélé qu'une unité connue sous le nom de Kimsuky a utilisé l'intelligence artificielle pour falsifier des images de cartes d'identité militaires et les insérer dans un fichier ZIP afin de faire paraître les messages légitimes.

Les chercheurs en sécurité affirment que les fausses pièces d'identité étaient suffisamment convaincantes pour que les destinataires ouvrent les pièces jointes, qui exécutaient alors du code caché. L'incident a été retracé à la mi-juillet 2025 et semble marquer une évolution dans la façon dont les attaquants élaborent leurs leurres.

L'objectif est simple. Amener un utilisateur à faire confiance à un message, ouvrir un fichier, et l'attaquant trouve une porte d'entrée. Cet accès peut conduire au vol d'identifiants, à l'implantation de logiciels malveillants ou au vidage de portefeuilles crypto. Les groupes liés à Pyongyang ont été associés à des attaques contre des cibles financières et de défense, entre autres.

Les victimes du groupe Lazarus invitées à exécuter des commandes

Certaines campagnes ne reposaient pas uniquement sur des exploits cachés. Dans plusieurs cas, les cibles ont été amenées à taper elles-mêmes des commandes PowerShell, parfois en croyant suivre des instructions officielles.

Cette étape permet aux attaquants d'exécuter des scripts avec des privilèges élevés sans avoir besoin d'une faille zero-day. Les organismes de sécurité ont averti que cette ruse sociale se propage et peut être difficile à repérer.

Groupe Lazarus : Anciens types de fichiers, nouvelles astuces

Les attaquants ont également abusé des fichiers de raccourci Windows et de formats similaires pour cacher des commandes qui s'exécutent silencieusement lorsqu'un fichier est ouvert. Les chercheurs ont documenté près de 1 000 échantillons malveillants de fichiers .lnk liés à des campagnes plus larges, montrant que les types de fichiers familiers restent une méthode de livraison privilégiée. Ces raccourcis peuvent exécuter des arguments cachés et télécharger d'autres charges utiles.

Pourquoi c'est important maintenant

Cela rend les attaques plus difficiles à arrêter : messages personnalisés, visuels forgés par l'IA et astuces qui demandent aux utilisateurs d'exécuter du code. L'authentification à deux facteurs (2FA) et les correctifs logiciels aident, mais former les gens à traiter les demandes inhabituelles avec suspicion reste essentiel. Les équipes de sécurité préconisent des filets de sécurité de base : mettre à jour, vérifier et, en cas de doute, vérifier auprès d'un contact connu.

Selon les rapports, le groupe Lazarus et Kimsuky continuent d'être actifs. Lazarus, selon les conclusions d'AhnLab, a reçu le plus de mentions dans les analyses post-cybercriminalité au cours des 12 derniers mois. Le groupe a été pointé du doigt pour des piratages à motivation financière, tandis que Kimsuky semble davantage axé sur la collecte de renseignements et la tromperie ciblée.

Image vedette d'Anadolu, graphique de TradingView