La menace interne reste un problème persistant qui nécessite une vigilance dans les processus d’intégration, des protections techniques et des mesures pour restreindre les connexions à partir des régions approuvées.
Le système nord-coréen de faux travailleurs informatiques est devenu une menace pernicieuse dans plusieurs secteurs. Même si les meilleures pratiques mettent l’accent sur les précautions tout au long de la phase d’embauche, une fois intégrés, ces agents peuvent être difficiles à détecter. Les combinaisons d’analyses comportementales, de renseignements sur les menaces et d’autres points d’information deviennent des défenses essentielles, comme l’atteste un cas récent.
Selon un récent rapport de LevelBlue SpiderLabs, un agent soupçonné d’être lié à la Corée du Nord a été embauché, a passé les contrôles de sécurité et a été chargé de travailler sur les données Salesforce avant d’être identifié et licencié 10 jours plus tard. Il a fallu une combinaison d’anomalies de géolocalisation, d’accès non géré aux appareils et de corrélation des renseignements sur les menaces pour identifier la menace.
En août 2025, l’intégration de routine s’est rapidement effondrée lorsque les analyses comportementales de Cybereason XDR ont signalé des modèles de connexion suspects et que les renseignements sur les menaces de LevelBlue SpiderLabs ont confirmé que l’organisation avait embauché le mauvais acteur sans le savoir.
Lorsqu’un administrateur de l’organisation a activé le compte EntraID du nouvel employé, l’équipe a observé que le nouvel employé utilisait une connexion EntraID à partir d’une adresse IP de Dallas, au Texas, qui s’écartait de ses régions de connexion habituelles (Chine). La connexion EntraID provenait d’un appareil non géré et utilisait une adresse IP du VPN Astrill, qui est généralement utilisé par les informaticiens liés à la Corée du Nord.
Le système nord-coréen de faux travailleurs informatiques peut permettre aux agents de voler des données sensibles, du code source exclusif, des secrets commerciaux et de la propriété intellectuelle. Cela peut exposer les organisations à des demandes de rançon et à la collecte d’informations d’identification pour maintenir un accès non autorisé persistant.
« C’est le cheval de Troie ultime : difficile à atténuer, surtout s’ils réussissent le processus de sélection des employés », a déclaré Luu.
On estime que les programmes de télétravail liés à la Corée du Nord ont infiltré des centaines d’organisations dans le monde, générant entre 250 et 500 millions de dollars par an pour le régime.
Comment le projet s’est déroulé en détail
Vendredi: Acteur menaçant embauché en tant qu’employé à distance chargé de travailler sur les données Salesforce et ayant réussi les procédures de vérification standard.
Du vendredi au mercredi : Cybereason XDR a établi une base de comportement montrant des connexions cohérentes depuis la Chine.
Jeudi: Une anomalie de connexion est détectée, déclenchant une alerte de haute gravité.
Vendredi: Les informations sur les menaces correspondent à l’impulsion OTX pour l’infrastructure VPN Astrill utilisée par les acteurs nord-coréens.
Lundi: Le compte de l’utilisateur a été révoqué et une enquête approfondie a été lancée.
Au cours de l’analyse approfondie de l’équipe SpiderLabs, ils ont parcouru les interactions des employés, les ajouts de discussions de groupe et d’autres documents pour rechercher des preuves de mécanismes de persistance et d’outils d’accès à distance. Ils n’ont trouvé aucune preuve d’accès résiduel, de portes dérobées ou d’artefacts malveillants, attribués à la vitesse de détection.
Dans la plupart des cas, ces initiés malhonnêtes tentent d’opérer dans l’ombre.
« Tant qu’ils n’éclairent pas trop de contrôles de l’entreprise, peut-être en utilisant des canaux de communication qui passent par un proxy, vous pouvez voir des méthodes telles que les clients de chat QQ, des sites de type Pastebin, ou même des brouillons d’e-mails partagés dans le cloud comme moyens de transmettre des informations », a déclaré Luu.
Principaux signes d’infiltration interne liée à la NK
SpiderLabs a découvert que ces acteurs malveillants opèrent généralement depuis la Chine plutôt que depuis la Corée du Nord, car Internet est plus stable et ils peuvent utiliser des services VPN pour dissimuler leur véritable origine géographique.
Astrill VPN a la capacité de contourner le grand pare-feu chinois et permet aux acteurs malveillants de canaliser le trafic via les nœuds de sortie américains et de se faire passer pour des employés nationaux légitimes. Par conséquent, les événements d’authentification provenant des plages IP Astrill VPN connues représentent un indicateur haute fidélité de compromission.
Dans ce cas, cependant, le VPN lui-même n’était pas le seul signe que les choses n’étaient pas ce qu’elles semblaient être.
« Je pense que ce qui s’est passé ici, c’est qu’Astrill VPN n’était pas une solution standard utilisée dans l’environnement spécifique que nous surveillions pour le client dans ce cas. Si tel avait été le cas, alors cet indicateur particulier n’aurait peut-être pas eu autant de poids », a déclaré Luu.
« La véritable anomalie ici est que l’utilisation de ce logiciel VPN particulier était inhabituelle pour cet environnement particulier. Il existe des VPN personnels et des VPN professionnels, et la solution XDR peut faire la distinction entre les solutions VPN personnelles et professionnelles et alerter uniquement sur l’utilisation du VPN personnel », a ajouté Luu.
Pas de solution miracle en matière d’IAM pour les RSSI
La gestion des identités et des accès n’offre aucune méthode magique pour repérer les faux travailleurs informatiques. Comme le montre cet exemple, découvrir un initié nord-coréen nécessite de rassembler un certain nombre de signaux. Ce travail d’investigation et d’alerte peut prendre différentes formes.
Dans certains cas, il recherche une connexion ou une activité professionnelle en dehors des heures de travail habituelles pour une zone géographique particulière.
« Certes, la convergence des soupçons est utile. Par exemple, les employés accèdent-ils aux données ou tentent-ils d’authentifier des données, des hôtes ou des applications en dehors de leurs rôles établis ? » » remarqua Luu.
Le rappel pour le RSSI est de s’assurer que les processus d’intégration sont solides et régulièrement révisés. « Découvrez quels logiciels sont « normaux » dans votre environnement, définissez des normes logicielles et assurez-vous que les employés disposent d’appareils gérés par l’entreprise, de préférence Windows pour plus de contrôle », a conseillé Luu. « Assurez-vous que les administrateurs informatiques appliquent la politique d’accès conditionnel d’EntraID pour verrouiller les connexions depuis les régions autorisées ou les zones où les employés sont employés. Le client n’avait pas activé la politique d’accès conditionnel avant l’incident, et il l’a appliquée après comme recommandation de Cybereason. «
