Problème 7004

◈ Principales conclusions

• Une attaque APT menée par le groupe Kimsuky et utilisant l'IA de génération « ChatGPT » a été détectée.

• Les auteurs ont falsifié des photos de cartes d'identité de fonctionnaires militaires sud-coréens à l'aide de deepfakes et ont contacté leurs victimes en se faisant passer pour des agents délivrant ces cartes.

• Ils ont tenté de contourner les antivirus à l'aide de fichiers batch et de scripts AutoIt.

• La mise en œuvre d'une solution EDR est essentielle pour détecter les scripts malveillants obfusqués et garantir la sécurité des terminaux.

1. Aperçu ---------------- Le 17 juillet 2025, le Centre de sécurité Genians (GSC) a découvert une attaque de spear-phishing attribuée au groupe Kimsuky. Il s'agissait d'une attaque APT usurpant l'identité d'une agence de défense sud-coréenne, en se faisant passer pour un agent militaire délivrant des cartes d'identité de fonctionnaires.

L'acteur malveillant a utilisé l'IA de génération ChatGPT pour créer une image factice d'une carte d'identité de fonctionnaire, image qui a ensuite servi à l'attaque. Il s'agit d'un exemple concret d'utilisation de deepfakes par le groupe Kimsuky.

Le terme « deepfake » est la contraction de « deep learning » (apprentissage profond) et « fake » (faux), désignant la technologie et les résultats de l'utilisation de l'intelligence artificielle (IA) pour créer de fausses images, vidéos et enregistrements audio donnant l'illusion de personnes réelles.

Aujourd'hui, sa signification s'est étendue à l'ensemble des opérations et des données générées par l'IA générative pour créer des images et des vidéos ressemblant à des personnes réelles. L'origine du terme remonterait à 2017, lorsqu'un utilisateur de Reddit, surnommé « deepfakes », a utilisé un modèle d'apprentissage profond open source pour superposer les visages de célébrités à des vidéos obscènes et les a diffusées.

Ce rapport vise principalement à observer comment la technologie deepfake est utilisée dans des scénarios d'attaque réels à travers des exemples précis, à en tirer des enseignements sur les menaces et à présenter l'impact potentiel sur l'environnement de sécurité et les contre-mesures.

2. Contexte ------------------ GSC a précédemment publié un « Rapport d'analyse tactique ClickFix ». Ce rapport comprenait notamment un exemple d'attaque usurpant l'identité des dispositifs de sécurité d'une entreprise de portails sud-coréenne.

• Analyse de l'attaque du groupe Kimsuky utilisant la technique « ClickFix »

Cette attaque usurpait l'identité du système de sécurité reCAPTCHA d'un portail web sud-coréen, incitant les victimes à exécuter des commandes PowerShell malveillantes en suivant les instructions d'une fenêtre contextuelle. Les analystes de Genius ont confirmé que le logiciel malveillant utilisé avait également servi lors de la même attaque deepfake, visant à usurper l'identité d'un ministère de la Défense.

[Figure 2-1] Scénario d'attaque

Cette étude de corrélation permet de mieux comprendre le cas de la fausse carte d'identité militaire sud-coréenne réalisée à l'aide de deepfakes générés par l'IA.

Par ailleurs, le groupe Kimsuky est activement impliqué dans des attaques utilisant l'IA, notamment en trompant les destinataires grâce à des objets d'e-mails qui font croire que le message est géré par une IA.

Parallèlement, Anthropic, une entreprise américaine qui exploite le service de génération d'IA « Claude », a publié le 28 août un rapport de veille sur les menaces intitulé « Détection et contre-mesures face à l'IA : août 2025 » (https://www.anthropic.com/news/detecting-countering-misuse-aug-2025), révélant des cas d'utilisation abusive de l'IA par des informaticiens nord-coréens.

Selon ce rapport, il a été confirmé que des identités virtuelles sophistiquées et manipulées ont été créées grâce à l'IA et utilisées comme base pour les évaluations techniques lors du processus de recrutement. Après leur embauche, il s'est avéré que des tâches techniques étaient également réalisées à l'aide de l'IA. Le rapport analyse que ces activités étaient méticuleusement conçues pour contourner les sanctions internationales tout en générant des devises étrangères pour le régime nord-coréen.

Il ajoute que sans ce service d'IA, il aurait été difficile pour ces travailleurs de réussir les entretiens techniques ou de poursuivre leur emploi, faute de compétences en programmation ou en raison de leurs lacunes en communication professionnelle en anglais.

Par ailleurs, les ministères des Affaires étrangères sud-coréen et japonais ont publié une déclaration conjointe concernant les informaticiens nord-coréens (https://www.mofa.go.jp/mofaj/press/release/pressit_000001_02650.html), indiquant que « les informaticiens nord-coréens emploient diverses méthodes pour se faire passer pour des informaticiens non nord-coréens, notamment en utilisant de fausses identités et en dissimulant leur localisation, y compris grâce à des outils d'IA et à la coopération d'intermédiaires étrangers. Recourir à des informaticiens nord-coréens, les soutenir ou sous-traiter des tâches à ces derniers comporte des risques de plus en plus graves, allant du vol de propriété intellectuelle, de données et de fonds à l'atteinte à la réputation et aux conséquences juridiques. »

De ce fait, des informations font régulièrement état d'acteurs malveillants, parrainés par un État, qui détournent les services d'IA pour mener des activités offensives sophistiquées. En particulier, des agents agissant de concert avec la Corée du Nord utilisent l'IA pour générer de fausses identités et de faux CV, puis mènent des opérations d'infiltration informatique en exploitant l'IA dans des évaluations techniques et des tâches pratiques.

Les services d'IA sont des outils puissants pour améliorer la productivité au travail, mais ils représentent également un facteur de risque potentiel pouvant être exploité à des fins de cybermenaces au niveau de la sécurité nationale. Il est donc nécessaire de prendre en compte le risque d'utilisation abusive de l'IA et de se préparer en conséquence dans tous les aspects du recrutement, des opérations et de la gestion au sein d'une organisation, et de mettre en place une surveillance de sécurité continue.

3. Analyse technique

---

3-1. Usurpation d'identité du service de conseils en sécurité des courriels - ClickFix (Cas 1)

Le 2 juin 2025, plusieurs attaques de phishing usurpant l'identité du service de conseils en sécurité des courriels d'une entreprise de portails sud-coréenne ont été découvertes.

Les principales cibles de ces attaques étaient des chercheurs nord-coréens, des militants des droits de l'homme nord-coréens et des journalistes, visant principalement des personnes du secteur privé ayant des liens avec la Corée du Nord.

[Figure 3-1] Capture d'écran d'un e-mail d'hameçonnage ciblant ClickFix

L'expéditeur et le lien de destination de chaque e-mail étaient identiques : l'adresse « liveml.cafe24[.]com », qui servait de serveur de contrôle en ligne de commande (C2). Cependant, les destinataires étaient différents à chaque fois.

| Date | Expéditeur | Lien d'hameçonnage |

| 2025-06-02 | serv_warnq0x@liveml.cafe24[.]com | liveml.cafe24[.]com/css/img/out.php |

| noreply_system001@liveml.cafe24[.]com | liveml.cafe24[.]com/css/img/out.php |

[Tableau 3-1] Informations d'hameçonnage usurpant l'identité du service de conseils de sécurité de messagerie d'une entreprise de portail

Cliquer sur le lien intégré en bas du corps de l'e-mail d'hameçonnage connecte à un serveur C2 et affiche une fenêtre contextuelle ClickFix. Des commandes PowerShell et Batch malveillantes, copiées en arrière-plan, sont alors exécutées, et après plusieurs étapes, un fichier CAB est téléchargé depuis le serveur C2 coréen « jiwooeng.co[.]kr ».

[Figure 3-2] Écran contextuel ClickFix

Le fichier CAB contient un fichier nommé « HncUpdateTray.exe », déguisé en mise à jour de Hancom Office. En réalité, il s'agit d'« AutoIt3.exe », utilisé pour exécuter un script AutoIt compilé, nommé « config.bin », qui lui est joint. Ce script communique périodiquement avec le serveur C2 « jiwooeng.co[.]kr » et exécute de nouvelles commandes de fichiers batch en fonction de l'intention de l'attaque.

Parallèlement, outre la technique ClickFix, les attaques de phishing classiques visant à voler des informations de compte se sont poursuivies. À ce moment-là, l'adresse est passée de « liveml.cafe24[.]com » à « snuopel.cafe24[.]com ».

[](https://www.genians.co.kr/hubfs/%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E6%83%85%E5%A0%B1%E7%AA%83%E5%8F%96%E7%94%A8%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E (Image: 3%83%B3%E3%82%B0%E3%83%A1%E3%83%BC%E3%83%AB%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figure 3-3] Capture d'écran d'un e-mail d'hameçonnage visant à voler des informations de compte

Même lors d'attaques d'hameçonnage Pour voler des informations de compte, les modèles d'adresses e-mail utilisés pour l'envoi sont similaires.

• noreply_system001@liveml.cafe24[.]com

• noreply_system001@snuopel.cafe24[.]com

En particulier, certains e-mails sont déguisés en annonces de nouvelles fonctionnalités gérées par une IA. L'auteur de la menace a introduit et utilisé un thème d'IA dans l'attaque.

3-2. Usurpation d'identité de pièces jointes HWP - ClickFix (Cas 2)

Un utilisateur généralement très vigilant en matière de sécurité se méfiera probablement et s'abstiendra d'ouvrir un fichier inconnu reçu par e-mail. Les auteurs d'attaques APT (Menaces Persistantes Avancées) en sont bien conscients.

Par conséquent, ils abordent généralement la cible avec un sujet correspondant à son domaine d'activité et à ses intérêts. Ils peuvent également attaquer des utilisateurs moins sensibilisés à la sécurité afin de créer une base pour une expansion latérale, intervenir dans les conversations quotidiennes et transmettre subtilement des messages malveillants. fichiers.

[](https://www.genians.co.kr/hubfs/HWP%E6%96%87%E6%9B%B8%E3%81%AE%E6%B7%BB%E4%BB%98%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E3%81%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97% (E3%81%9FClickFix%E6%94%BB%E6%92%83%E3%83%A1%E3%83%BC%E3%83%AB%E3%81%AE%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figure 3-4] Capture d'écran d'un courriel d'attaque ClickFix usurpant l'identité d'une pièce jointe contenant un document HWP

Cet incident s'est produit le 17 juin et ciblait une personne en particulier. Le courriel usurpait l'identité d'une pièce jointe contenant un document HWP de Hancom.

Comme mentionné précédemment, le destinataire de l'attaque recevait régulièrement ce type de documents HWP de la part de ses connaissances. Il a donc ouvert la pièce jointe sans se méfier.

Le fichier contenait la même adresse que le serveur C2 « liveml.cafe24[.]com » utilisé lors de l'attaque ClickFix, et le même code de script interne était employé.

3-3. Usurpation d'identité d'une carte d'identité de fonctionnaire - Deepfake IA (Cas 3)

Après la tactique ClickFix, un cas de « deepfake » exploitant le service ChatGPT d'OpenAI a été découvert en juillet.

L'auteur de la menace a utilisé un service de génération d'IA pour créer une fausse photo de carte d'identité de fonctionnaire militaire sud-coréen et a mené une attaque de spear-phishing en se faisant passer pour une entreprise demandant l'examen d'une proposition.

L'adresse de l'expéditeur du courriel a été conçue pour ressembler à l'adresse de domaine officielle de l'armée sud-coréenne. agence.

[](https://www.genians.co.kr/hubfs/%E9%9F%93%E5%9B%BD%E8%BB%8D%E5%85%AC%E5%8B%99%E5%93%A1%E8%BA%AB%E5%88%86%E8%A8%BC%E3%81%AE%E8%A9%A6%E6%A1%88%E6%A4%9C%E8%A8%8E%E4%BE%9D%E9%A0%BC%E3%81%AB%E3%8 (1%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97%E3%81%9F%E6%94%BB%E6%92%83%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figure 3-5] Capture d'écran d'une attaque imitant une demande de révision d'un projet de carte d'identité de fonctionnaire militaire sud-coréen.

Le courriel contient les informations suivantes, et le fichier compressé téléchargé contient le nom réel du destinataire (*traité).

• Expéditeur :

• uws64-116.cafe24[.]com

• 183.111.161[.]96 (KR)

• Lien de la pièce jointe

• Versonnex74[.]fr

• 51.158.21[.] 1 (France)

• Télécharger le fichier

• Civil Brouillon d'identification de fonctionnaire (***).zip

L'archive « Brouillon d'identification de fonctionnaire civil ().zip » contient un fichier malveillant typique de type raccourci nommé « Brouillon d'identification de fonctionnaire civil ().lnk ». La commande « Cible » dans les propriétés du raccourci agit comme une invite de commande (cmd.exe). Tout d'abord, une longue chaîne de caractères est déclarée dans la variable d'environnement avec la valeur « ab901ab ». Ensuite, la chaîne obfusquée est extraite par morceaux à l'aide d'une syntaxe de découpage.

• %windir%\syswow64\cmd.exe

• Set /k "ab901ab="

• jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh

Par exemple, la valeur « %ab901ab:~7,1% » signifie que [~7,1] sélectionne la chaîne (p) correspondant à la 7e position en partant de la gauche (position 0) de la chaîne de la variable d'environnement. Ce processus extrait et convertit… caractères séquentiellement.

| jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh |

| && appel %ab901ab:~7,1%%ab901ab:~17,1%%ab901ab:~9,1%%ab901ab:~26,1%%ab901ab:~46,1%% ab901ab:~14,1%%ab901ab:~47,1%%ab901ab:~26,1%%ab901ab:~39,1%%ab901ab:~39,1% |

| ab901ab: | ~7,1 | p |

| ~17,1 | o |

| ~9,1 | w |

| ~26,1 | e |

| ~46,1 | r |

| ~14,1 | s |

| ~47,1 | h |

| ~26,1 | e |

| ~39,1 | l |

| ~39,1 | l |

[Tableau 3-2] Extraction des chaînes obfusquées contenues dans les propriétés du raccourci

La chaîne convertie tente de communiquer avec le serveur C2 « private.php » à l’adresse de commande PowerShell « jiwooeng.co[.]kr ».

[Figure 3-6] Capture d'écran de la chaîne extraite

Lors de la communication avec le serveur C2, l'image « Draft Civil Servant ID (***).png » et le fichier « LhUdPC3G.bat » sont téléchargés dans le dossier temporaire (%Temp%) puis exécutés.

L'image reçue, qui imite une carte d'identité de fonctionnaire provisoire, a été analysée comme une image deepfake créée pour ressembler à certaines images disponibles publiquement sur Internet.

La vérification des métadonnées du fichier confirme notamment qu'il a été généré par une intelligence artificielle. "ChatGPT".

[Figure 3-7] Métadonnées d'un fichier PNG (partiellement flouté)

Les cartes d'identité des fonctionnaires militaires coréens sont des documents d'identité officiels. Les cartes d'identité sont strictement protégées par la loi ; par conséquent, la réalisation de copies identiques ou similaires à l'original est illégale. C'est pourquoi demander à ChatGPT de créer une copie d'une carte d'identité entraînera une réponse « impossible ».

Cependant, la réponse variera en fonction de la requête et des paramètres de rôle du personnage permettant au modèle d'IA de répondre. Cette méthode consiste à demander la création d'une maquette ou d'un modèle virtuel à des fins légitimes, et non une copie d'une véritable carte d'identité de fonctionnaire militaire coréen.

Ceci s'applique également aux photos truquées utilisées lors d'attaques. Créer de fausses cartes d'identité via des services d'IA n'est pas techniquement difficile ; une prudence particulière est donc de mise. nécessaire.

[](https://www.genians.co.kr/hubfs/AI%E3%81%8C%E4%BD%9C%E6%88%90%E3%81%97%E3%81%9F%E4%BB%AE%E6%83%B3%E4%BA%BA%E7%89%A9%E3%81%AE%E8%BA%AB%E5%88%86%E8%A8%BC(%E4% (Image: B8%80%E9%83%A8%E3%83%A2%E3%82%B6%E3%82%A4%E3%82%AF%E5%8A%A0%E5%B7%A5).png?hsLang=ja)

[Figure 3-8] Carte d'identité d'une personne virtuelle générée par IA (partiellement floutée)

Analyse de Le fichier « Draft Civil Servant ID Card (***).png) » utilisé lors de l'attaque a été analysé par le service [Truthscan Deepfake Detection] (https://truthscan.com/deepfake-detector) qui a révélé qu'il s'agissait d'une image deepfake avec un taux de vraisemblance de 98 %. Probabilité.

[Figure 3-9] Résultats de la recherche de deepfakes TruthScan (partiellement) (Flouté)

Comme vous pouvez le constater, des attaques plus sophistiquées deviennent possibles grâce à des activités réelles, des sujets connexes et des leurres.

Parallèlement, le fichier « LhUdPC3G.bat », installé avec la photo, est exécuté et déclenche une activité malveillante à grande échelle. Ce fichier, à l’instar du raccourci mentionné précédemment, extrait les caractères obfusqués un par un à l’aide de variables d’environnement, puis les exécute.

[Figure 3-10] Fichier batch obfusqué

Les chaînes de caractères « Start_juice » et « Eextract_juice », utilisées comme identifiants pour les sauts de branche internes, sont systématiquement retrouvées dans des cas similaires. Ce contenu est également utilisé pour l'attribution des menaces et l'analyse de corrélation.

Le script batch obfusqué tente de se connecter à l'adresse « private.php?public=admin38 » sur le serveur C2 « jiwooeng.co[.]kr », déclarée dans la variable %headerurl%, après 7 secondes. En cas de succès, il télécharge le fichier « privname173.cab » dans le répertoire %Public% et l'extrait selon les critères de comparaison.

Il l'enregistre ensuite dans le Planificateur de tâches sous le nom « HncAutoUpdateTaskMachine » et l'exécute en se faisant passer pour une mise à jour de Hancom Office.

• C:\ProgramData\HncAutoUpdate\HncUpdateTray.exe

• C:\ProgramData\HncAutoUpdate\config.bin

[Figure 3-11] Diagramme d'exécution

Le fichier « HncUpdateTray.exe », exécuté toutes les 7 minutes par le Planificateur de tâches, charge le fichier « config.bin » situé dans le même répertoire.

Comme indiqué sur l'icône du fichier « HncUpdateTray.exe », le fichier d'origine est « AutoIt3.exe ». Le fichier « config.bin » contient des scripts AutoIt compilés. Structure.

[Figure 3-12] Structure d'un fichier AutoIt

Le script AutoIt décompilé présente des fonctions et des chaînes de caractères obfusquées afin d'en compliquer l'analyse et d'échapper à la détection.

Ici, la fonction « msdbvxez() » est une technique de chiffrement caractère par caractère implémentée à l'aide d'un schéma de « Vigenère » modifié, qui décale chaque caractère de la chaîne d'entrée [+/-] à l'aide d'une clé circulaire et d'un tableau périodique de bits.

Comparé à un simple Le chiffrement de César offre un niveau d'obfuscation amélioré, rendant plus difficile la prédiction des motifs de caractères courants lors de l'analyse de chaînes statiques.

[Figure 3-13] Chaîne obfusquée et logique de déchiffrement

Après le décodage de la chaîne obfusquée, communication avec le serveur de commande et de contrôle coréen (C2). Le serveur est initialisé et une réponse GET est attendue.

|

Variable locale $bxmfljmg = "ADODB.Stream"

Variable locale $ndexqvwc = "windows-1252"

Variable locale $izscpxux = "MSXML2.DOMDocument.6.0"

Variable locale $khabtatx = "b64"

Variable locale $lfqwxybb = "bin.base64"

Variable locale $nmpogecn = "WinHttp.WinHttpRequest.5.1"

Variable locale $iugrncsl = "GET"

Variable locale $vvajpije = "User-Agent"

Variable locale $qcffuoke = "COMPUTERNAME"

Variable locale $pzqvxcmw = "http://www.jiwooeng.co[.]kr/zb41pl7/bbs/icon/private_name/private.php?name="

Local $zkczmqub = "Mozilla/5.0 (Windows NT 10.0; Win64; (x64) Edge/133.2.1.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36

Local $tmylhlop = "\tempprivate0082.bat"

Local $tjpvtfse = "<html"

|

[Tableau 3-3] Résultats du décodage des chaînes obfusquées

Le script final « config.bin » chargé identifie le poste infecté par la valeur « COMPUTERNAME » et sélectionne des cibles supplémentaires par le biais d'un processus de reconnaissance.

Ensuite, il installe le Le fichier « tempprivate0082.bat » permet diverses activités malveillantes telles que le vol de documents internes et la prise de contrôle à distance.

4. Analyse de cas similaires

---

4-1. Cas d'usurpation d'identité d'un institut de recherche universitaire sur la réunification Nord-Sud

Le 11 février, une attaque de spear-phishing a été menée, usurpant l'identité d'un institut de recherche universitaire sud-coréen spécialisé dans les relations Nord-Sud.

Cette attaque consistait à envoyer un fichier LNK malveillant dans une archive ZIP déguisée en article. L'adresse C2 utilisée pour le téléchargement était : "guideline.or[.]kr".

[](https://www.genians.co.kr/hubfs/%E8%A8%98%E4%BA%8B%E6%96%87%E3%81%AE%E3%81%AA%E3%82%8A%E3%81%99%E3%81%BE%E3%81%97%E3%82%B9%E3%83%94%E3%82%A2%E3%83%95%E3%82%A3%E3%83%8 (3%E3%82%B7%E3%83%B3%E3%82%B0%E7%94%BB%E9%9D%A2.png?hsLang=ja)

[Figure 4-1] Écran d'hameçonnage ciblé imitant un article

Le fichier LNK contient Un fichier « ms3360.bat » présente un schéma similaire à celui du deepfake mentionné précédemment.

[Figure 4-2] Commande dans le fichier batch

Les valeurs des variables d'environnement diffèrent de celles du deepfake, mais la méthode d'obfuscation est identique, de même que les paramètres de branchement pour « Start_juice » et « Extract_juice ».

Le script batch obfusqué tente de se connecter à L'adresse « push_pass.php?pass=push » est envoyée sur le serveur C2 « hyounwoolab[.]com », déclarée comme variable %themeaddr%, après un délai de 10 secondes. En cas de succès, le script télécharge le fichier « MStemp109.cab » dans le répertoire %Public% puis le décompresse selon les critères de comparaison.

Il enregistre ensuite un planificateur de tâches nommé « MicrosoftAppStoreTaskMachine » et l'exécute en se faisant passer pour le Microsoft Store.

• C:\ProgramData\MicrosoftStore\MicrosoftAppStore.exe

• C:\ProgramData\MicrosoftStore\account.conf

Jusqu'ici, le processus est similaire aux exemples de deepfake, mais le fichier « MicrosoftAppStore.exe » n'est pas au format lisible par le script AutoIt.

Dans ce cas précis, la version 2.7 de « pythonw.exe », un script Python connu sous le nom de « No Console Window », a été utilisée lors de l'attaque. Le fichier account.conf est ensuite utilisé. Techniques de « camouflage des commentaires » ou d'« obfuscation par remplissage ».

[Figure 4-3] Commande cachée entre les commentaires

« pythonw.exe » est un fichier exécutable qui n'affiche aucune fenêtre de console (cmd) à l'écran lors de l'exécution d'un script Python. Il peut donc exécuter secrètement des scripts malveillants. Contexte. Le script malveillant, dissimulé sous l'apparence d'un fichier journal/de configuration inoffensif contenant de nombreux commentaires (#), s'exécute via du code Python, et non via des commentaires.

Ce code Python utilise une technique d'obfuscation de chaînes basée sur l'opération XOR, qui combine l'opérateur XOR avec la chaîne décimale « chr(nombre^nombre) » et une technique de désobfuscation dynamique générée lors de l'exécution.

En raison de ce nom de variable factice et de ces commentaires, il est difficile d'interpréter immédiatement le sens du code à la seule lecture. La lisibilité s'en trouve donc réduite et l'analyse peut s'avérer fastidieuse. Cette commande Python installera le fichier « zarokey291.bat » via le serveur C2 « hyounwoolab[.]com ».

4-2. Dissimulation d'activités malveillantes par le biais de commentaires Python

Examinons l'exemple du code Python sans console mentionné précédemment, ainsi qu'un autre exemple d'utilisation de commentaires (#) pour masquer le code principal. Il est à noter que, dans certains cas, le même nom de fichier « MicrosoftAppStore.exe » est utilisé, mais la différence réside dans… Le fichier « appstore.version » est utilisé à la place de « account.conf ».

L'accès initial se fait généralement par le biais d'attaques de spear-phishing, et un fichier CAB est téléchargé.

| N° | Date | Nom du fichier | Type | C2 |

| 1 | 01/05/2018 | notepad.exe | pythonw.exe | - |

| 04/12/2024 | notepad.cfg | malware | - |

| 07/12/2024 | notepad.dat | dangol[.]pro |

| 2 | 01/05/2018 | MicrosoftAppStore.exe | pythonw.exe | |

| 04/02/2025 | appstore.version | malware | astaibs.co[.]kr |

| 3 | 01/05/2018 | KMSAutoToolKit.exe | pythonw.exe | |

| 18/02/2025 | toolkit.kit | malware | zabel-partners[.]com |

| 4 | 2018-05-01 | OnedriveAutoLoggin.exe | pythonw.exe | |

| 2025-03-10 | account.ini | malware | healthindustry.sookmyung.ac[.]kr |

[Tableau 4-1] Liste des fichiers internes et informations comparatives pour chaque fichier CAB compressé

Le fichier CAB n° 1 du [Tableau 4-1] a été installé via le serveur C2 « hyounwoolab[.]com ». Concernant le script Python « notepad.cfg » inclus dans la compression, la fonction de commentaire reste inchangée, mais la technique d’obfuscation est légèrement plus complexe. En résumé, les données encodées en BASE64 de la variable « xbbPU2_2JjSsOHg » sont extraites et décodées en ordre inverse des valeurs obtenues par soustraction des indices. 0-44.

La commande Python résultante est un chargeur de shellcode classique exécuté en mémoire. Elle effectue un XOR sur le fichier « notepad.dat » pour le convertir en un fichier exécutable et l'alloue en mémoire.

Par ailleurs, tous les autres fichiers et dossiers sont des fichiers Python standard. Modules.

[Figure 4-4] Dossier de création du fichier Notepad.dat et flux d'appel

Le shellcode est généré à partir d'un fichier EXE sain sélectionné aléatoirement dans le dossier système compatible 32 bits. (%windir%\SysWOW64). Il est injecté dans le fichier.

Cette méthode est généralement appelée « process hollowing ».

[Figure 4-5] Capture d'écran de l'analyse de débogage de l'insertion de shellcode

Le malware Inséré dans un processus normal, ce script tente de se connecter à deux serveurs C2.

• dangol[.]pro/bbs/option.php

• api.pcloud[.]com?folderid=24008549953&auth=rPgir7ZJwas7ZkpEjjbqOnemSy65nfFpQiS369GTy

Ce système utilise plusieurs adresses provenant de « dangol[.]pro » et « pcloud[.]com ». Il s'agit d'une architecture C2 à basculement permettant la maintenance pendant une certaine période, même en cas d'indisponibilité d'un serveur.

[Figure] 4-6] Écran d'adresse C2

5. Attribution des menaces

---

5-1. Concept

L'« attribution des menaces » désigne le processus d'association d'un acteur, d'un pays ou d'une organisation à une campagne d'attaque spécifique. Ce processus va au-delà de la simple vérification des traces techniques et constitue une procédure analytique essentielle pour identifier les forces et les motivations à l'origine d'une attaque.

Il repose sur l'analyse exhaustive des indicateurs techniques (TTP, logiciels malveillants, infrastructure) et contextuels (cible de l'attaque, caractéristiques linguistiques, historique des activités).

Grâce à cette analyse multifactorielle, il est possible d'associer une menace à un groupe spécifique. Bien entendu, l'élément le plus important est d'obtenir des données probantes fiables, à grande échelle et indépendantes (indicateurs de compromission, échantillons de logiciels malveillants, journaux, etc.) et de les analyser et de les accumuler de manière systématique.

Ceci permet d'améliorer la précision et la fiabilité de l'attribution des menaces.

• Composantes clés de l'attribution des menaces

• • TTP (Tactiques, Techniques et Procédures)
• • • Attaquant Tactiques, techniques, procédures et autres schémas comportementaux
• • • Techniques d'obfuscation propriétaires, méthodes de communication C2, schémas de déplacement latéral, etc.
• • Logiciels malveillants et outils
• • • Types de logiciels malveillants, algorithmes de chiffrement, frameworks et outils utilisés pour les déployer
• • • RAT, hachages, techniques d'obfuscation, outils de piratage open source ou commerciaux
• • Infrastructure
• • • Infrastructure utilisée lors de l'attaque : domaines, adresses IP, serveurs et certificats
• • • Informations relatives au système d'exploitation, à WebShell, aux réseaux sociaux, à la messagerie et aux abonnements d'hébergement
• • Partagées et réutilisées entre les campagnes ou utilisées de manière répétée au sein du même groupe
• • Ciblage et victimologie
• • • Types de secteurs, régions et organisations principalement ciblés
• • • Secteur financier, secteur de la défense, agences nationales spécifiques, etc.
• • • Identification des motivations (vol de secrets, acquisition de fonds, etc.) Extorsion, espionnage)
• • Langue, style de code, métadonnées, fichier leurre
• • • Indices liés à l'environnement de développement, à la culture et aux caractéristiques linguistiques*
• • • Caractéristiques logicielles spécifiques au pays, formats de fichiers (HWP, EGG)
• • • Expression des commentaires de code, date de compilation, chemin d'accès à la base de données de fichiers (PDB), nom du compte
• • • Période d'activité principale ou de développement (fuseau horaire)
• • • Matériel d'artefact
• • Campagnes historiques
• • • Continuité et réutilisation des activités d'attaque passées
• • • Méthodes d'attaque utilisées de manière répétée par le même groupe
• • • Famille de logiciels malveillants, modèles d'utilisation de l'infrastructure, etc.
• • • Enquête sur les défaillances de sécurité opérationnelle (défaillance de la maintenance de sécurité, exposition du site)

5-2. Reconstruction des corrélations

En configurant des écrans de corrélation basés sur des cas similaires, de nombreux événements de sécurité individuels sont visualisés sous forme de diagrammes de relations. Chaque nœud représente un problème de sécurité ou un indicateur de compromission (IoC), et les lignes reliant les nœuds sont basées sur des corrélations comportementales et temporelles ou sur des données communes.

Ces diagrammes de relations permettent de suivre les scénarios d'attaque et de comprendre les tactiques des groupes de menaces grâce aux corrélations entre les événements, plutôt qu'à des observations fragmentées d'événements individuels. Cependant, le niveau de détail de tous les problèmes affichés à l'écran est limité ; vous pouvez donc consulter les données associées à chaque nœud afin de vérifier les occurrences historiques et les renseignements sur les menaces (TI) associés.

Cela vous permet de vérifier si l'événement observé est lié à une campagne d'attaque passée spécifique ou s'il fait partie d'une tactique, technique ou procédure récurrente.

De plus, nous avons confirmé que de nombreux cas présentés dans ce rapport, y compris les deepfakes, sont corrélés avec des indicateurs de menaces précédemment utilisés par le groupe Kimsuky.

[](https://www.genians.co.kr/hubfs/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%BE%B5%E5%AE%B3%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%B1%E3%83%B (Image of a pirated image.png?hsLang=ja)

[Figure 5-1] Diagramme de corrélation basé sur les indicateurs de faille de sécurité

5-3. Principaux fichiers leurres utilisés lors de l'attaque

Les attaquants ont utilisé non seulement de faux documents d'identité (deepfakes), mais aussi divers types de documents leurres.

Exemples typiques : ▷ Données prédisant les causes du taux de change et de l'inflation en Corée du Nord, et ▷ Une enquête nationale Rapport visant à faire éclater la vérité derrière les allégations de guerre civile suite à la déclaration de la loi martiale par le gouvernement de Yoon Seok-yeol.

Ces attaques présentent des caractéristiques qui visent à attirer et à induire en erreur l'attention de leurs cibles en se concentrant sur la recherche, la défense nationale et les questions politiquement et socialement sensibles concernant la Corée du Nord.

[Figure 5-2] Capture d'écran partielle d'un document leurre

6. Conclusion et réponse

---

[Genian] EDR Les administrateurs peuvent identifier et détecter immédiatement les fichiers LNK (raccourcis Windows) comme une menace dès la première étape d'une intrusion sur les terminaux internes.

Lors de l'exécution du processus de décompression (Bandizip.exe), une charge utile malveillante, dissimulée sous l'apparence d'une carte d'identité de fonctionnaire militaire sud-coréen, est générée. Cette charge utile est identifiée et signalée comme une menace par les règles de détection des comportements anormaux (XBA).

[Image: https://www.genians.co.kr/hubfs/Genian%20EDR%E3%81%AE%E8%84%85%E5%A8%81%E7%AE%A1%E7%90%86%E7%94%BB%E9%9D%A2.png?hsLang=ja]

[Figure 6-1] Capture d'écran de gestion des menaces de Genian EDR

Lorsque le LNK Lorsqu'un fichier est exécuté, la commande cmd.exe est lancée via le processus powershell.exe, téléchargeant et exécutant des fichiers image deepfake ainsi qu'un script batch malveillant depuis le serveur C2.

[Figure 6-2] Ligne de commande PowerShell

Le fichier batch malveillant téléchargé en plus exécute la commande « timeout -t 7 /nobreak », retardant ainsi l'exécution du processus d'environ 7 secondes.

De telles techniques sont couramment utilisées pour contourner la surveillance à court terme dans les environnements sandbox et d'analyse dynamique basés sur les processus. Cependant, Genian EDR peut neutraliser ces techniques de contournement. Suivre et analyser l'intégralité de la chaîne d'exécution, quel que soit le délai.

[Figure 6-3] Scénario d'attaque Genian EDR

Le scénario d'attaque de Genian EDR visualise l'intégralité du flux d'exécution du logiciel malveillant, permettant aux opérateurs SOC (Centre des opérations de sécurité) d'identifier rapidement les comportements menaçants et d'intervenir immédiatement.

7. Indicateurs de compromission (IoC)

---

• MD5

09dabe5ab566e50ab4526504345af297

33c97fc4eacd73addbae9e6cde54a77d

143d845b6bae947998c3c8d3eb62c3af

8684e5935d9ce47df2da77af7b9d93fb

90026c2dbdb294b13fd03da2be011dd1

472610c4c684cea1b4af36f794eedcb0

227973069e288943021e4c8010a94b3c

bd0e6e02814cf6dcfda9c3c232987756

eacf377577cfebe882d215be9515fd11

fcb97f87905a33af565b0a4f4e884d61

1b2e63ca745043b9427153dc2d4d4635

009bb71299a4f74fe00cf7b8cd26fdfc

• Domaine

liveml.cafe24[.]com

snuopel.cafe24[.]com

versonnex74[.]fr

seytroux[.]fr

contamine-sarzin[.]fr

jiwooeng.co[.]kr

guideline.or[.]kr

hyounwoolab[.]com

dangol[.]pro

astaibs.co[.]kr

zabel-partners[.]com

healthindustry.sookmyung.ac[.]kr

• Adresse IP

183.111.161[.]96

183.111.182[.]195

183.111.174[.]34

183.111.174[.]97

184.168.108[.]207

51.158.21[.]1

58.229.208[.]146

59.25.184[.]83

111.92.189[.]12

112.175.184[.]4

121.254.129[.]86