Incidents associés
Les pirates informatiques nord-coréens Kimsuky utilisent de fausses cartes d'identité militaires générées par l'IA dans une nouvelle campagne de phishing, prévient GSC, marquant ainsi un tournant par rapport aux anciennes tactiques ClickFix.
Kimsuky, un groupe de pirates informatiques nord-coréen notoire, utilise désormais de fausses cartes d'identité militaires créées à l'aide d'outils d'intelligence artificielle (IA) pour mener à bien sa dernière campagne de phishing. Selon la société de cybersécurité Genians Security Center (GSC), il s'agit d'une nouvelle étape par rapport aux anciennes tactiques ClickFix du groupe, qui incitaient auparavant les victimes à exécuter des commandes malveillantes en leur présentant de fausses fenêtres contextuelles de sécurité.
Cette nouvelle approche a été détectée pour la première fois en juillet 2025, lorsque des attaquants ont envoyé des e-mails semblant provenir d'une institution de défense sud-coréenne légitime. Ces messages visaient à attirer l'attention, prétendant généralement concerner une nouvelle carte d'identité pour le personnel militaire.
La première image est l'e-mail de phishing original envoyé par les auteurs de la menace (Source : GSC). La deuxième image a été traduite par Hackread.com grâce à un traducteur d'images IA.
L'appât est un fichier ZIP contenant ce qui semble être l'ébauche d'une véritable carte d'identité militaire. Mais il y a un hic : la photo convaincante figurant sur la carte n'est pas réelle. Il s'agit d'un deepfake généré par l'IA, dont la probabilité d'être falsifié est proche de 98 %, créé à l'aide d'outils d'IA largement répandus comme ChatGPT.
Fausses cartes d'identité militaires générées par l'IA (Source : GSC)
Si une personne sans méfiance ouvre le fichier, l'attaque réelle commence. Un programme malveillant caché s'exécute immédiatement en arrière-plan. Pour éviter d'être détecté, il attend quelques secondes avant de télécharger secrètement un fichier malveillant appelé « LhUdPC3G.bat » depuis un serveur distant situé sur « jiwooeng.co.kr� ».
À l'aide de fichiers batch et de scripts AutoIt, les pirates installent ensuite une tâche malveillante nommée HncAutoUpdateTaskMachine, exécutée toutes les sept minutes et se faisant passer pour une mise à jour de Hancom Office. Les chercheurs ont constaté que les pirates avaient déjà utilisé des tactiques similaires lors d'autres attaques, avec des chaînes de caractères révélatrices telles que « Start_juice » et « Eextract_juice » apparaissant dans leur code.
Cette campagne de deepfakes d'identité militaire montre comment le groupe Kimsuky modifie constamment ses tactiques, utilisant un leurre plus socialement conçu pour atteindre le même objectif en incitant une victime à exécuter une série de scripts compromettant son ordinateur.
Ce n'est pas la première fois que le groupe utilise l'IA à des fins malveillantes. En juin 2025, OpenAI a rapporté que des pirates nord-coréens avaient créé de fausses identités grâce à l'IA pour réussir des entretiens d'embauche techniques. Des pirates informatiques chinois, russes et iraniens ont également détourné des outils d'IA, notamment ChatGPT, pour des activités similaires.
En fin de compte, cette dernière campagne souligne la nécessité d'une sécurité plus avancée. Selon GSC, des systèmes comme Endpoint Detection and Response (EDR) sont essentiels pour détecter et neutraliser ce type d'attaques qui s'appuient sur des scripts obscurcis pour masquer leur activité malveillante.