Les employés des entrepreneurs américains de la défense et de l’aérospatiale ont été ciblés dans une campagne de harponnage à grande échelle entre début avril et mi-juin 2020 dans une série d’attaques de phishing conçues pour infecter leurs appareils et exfiltrer le renseignement technologique de défense.

Tout au long de cette série d’attaques surnommées «  Operation North Star  » par les chercheurs de McAfee Advanced Threat Research (ATR) qui l’ont repérée, les e-mails de spear-phishing ont été camouflés comme de fausses offres d’emploi d’entrepreneurs de défense de haut niveau, une tactique utilisée par d’autres campagnes similaires ciblant les mêmes industries en 2017 et 2019.

McAfee a lié ces attaques à Hidden Cobra, le groupe de menaces derrière les précédentes campagnes de cyber-espionnage militaire de phishing, sur la base des similitudes trouvées dans le code d’exécution des implants et les fonctionnalités de base.

Hidden Cobra est un terme générique utilisé par la communauté américaine du renseignement pour suivre l’activité cybernétique malveillante nord-coréenne attribuée à plusieurs groupes de piratage informatique, notamment APT 37, Lazarus Group, APT 38, DarkHotel, Kimsuky et Andariel.

Campagne de cyberespionnage ciblant le renseignement de défense

L’objectif principal de cette campagne était de collecter des renseignements technologiques militaires et de défense auprès d’employés expérimentés de l’aérospatiale et de la défense, pour être ensuite exfiltrés vers des infrastructures compromises de pays européens également utilisés pour fournir des implants malveillants aux dispositifs infectés des cibles.

« Les documents de leurre contenaient des descriptions de poste pour des postes d’ingénierie et de gestion de projet en relation avec des contrats de défense actifs », a déclaré McAfee.

« Les personnes recevant ces documents dans le cadre d’une campagne ciblée de spear phishing étaient susceptibles de s’intéresser au contenu de ces documents de leurre, comme nous l’avons observé lors de campagnes précédentes, ainsi qu’à certaines connaissances ou relations avec l’industrie de la défense. »

Les fausses offres d’emploi ont été envoyées par …