Des acteurs liés à la République Populaire Démocratique de Corée (RPDC) imitent des entreprises américaines de logiciels et de conseils technologiques pour atteindre leurs objectifs financiers dans le cadre d’un large programme impliquant des travailleurs du secteur des technologies de l’information (IT).
Stratégies des entreprises fictives
Les recherches de sécurité menées par SentinelOne, par Tom Hegel et Dakota Cary, révèlent que des entreprises de façade, souvent basées en Chine, en Russie, en Asie du Sud-Est et en Afrique, jouent un rôle clé dans le camouflage des véritables origines des travailleurs et dans la gestion des paiements.
Le réseau nord-coréen de travailleurs IT, tant de manière individuelle qu’en utilisant des sociétés de façade, est perçu comme une méthode pour contourner les sanctions internationales imposées au pays et générer des revenus illicites.
Campagne mondiale et financements illicites
La campagne mondiale, également connue sous le nom de Wagemole par Palo Alto Networks Unit 42, utilise des identités falsifiées pour obtenir des emplois dans diverses entreprises aux États-Unis et ailleurs, renvoyant une grande partie de leurs salaires vers le royaume ermite afin de financer des programmes d’armement.
En octobre 2023, le gouvernement américain a saisi 17 sites Web qui se faisaient passer pour des entreprises de services IT basées aux États-Unis, permettant à des travailleurs IT de dissimuler leur véritable identité et localisation lors de candidatures en ligne pour des travaux à distance à l’échelle mondiale.
Les entreprises impliquées
Les travailleurs IT étaient affiliés à deux sociétés basées en Chine et en Russie, à savoir Yanbian Silverstar Network Technology Co. Ltd. et Volasys Silver Star. Ces travailleurs ont transféré des revenus de leurs activités frauduleuses vers la RPDC à l’aide de services de paiement en ligne et de comptes bancaires chinois.
Analyse de SentinelOne
SentinelOne a analysé quatre nouvelles entreprises de façade de travailleurs IT nord-coréens, toutes enregistrées via NameCheap et prétendant être des entreprises de développement, de conseil et de logiciels, tout en copiant leur contenu de sociétés légitimes :
- Independent Lab LLC, copié d’une société américaine appelée Kitrum
- Shenyang Tonywang Technology LTD, copié d’une société américaine appelée Urolime
- Tony WKJ LLC, copié d’une société indienne appelée ArohaTech IT Services
- HopanaTech, copié d’une société américaine appelée ITechArt
Tous ces sites ont été saisis par le gouvernement américain au 10 octobre 2024, et SentinelOne a retracé ces activités à un réseau actif d’entreprises de façade en provenance de Chine.
Recommandations pour les organisations
Les organisations sont invitées à mettre en œuvre des processus de vérification rigoureux, y compris un examen minutieux des sous-traitants et des fournisseurs potentiels, afin de réduire les risques et d’éviter un soutien involontaire à de telles opérations illicites.
Cette divulgation fait suite aux résultats de l’Unité 42, qui a identifié un groupe d’activité de travailleurs IT nord-coréens, désigné CL-STA-0237, impliqué dans des attaques de phishing récentes utilisant des applications de visioconférence infectées par des logiciels malveillants.
