Un groupe APT soutenu par le gouvernement nord-coréen a été surpris en train d’utiliser une fausse société de test de stylos et une gamme de comptes de médias sociaux de marionnettes de chaussettes dans une escalade d’une campagne de piratage ciblant les professionnels de la recherche en sécurité.

Le groupe de piratage notoire, découvert pour la première fois par Google plus tôt cette année, est revenu le 17 mars avec un site Web pour une fausse société de test de pénétration.

« Le nouveau site Web affirme que la société est une société de sécurité offensive située en Turquie qui propose des pentests, des évaluations de sécurité logicielle et des exploits », selon Adam Weidemann, chercheur au TAG (Threat Analysis Group) de Google.

À l’instar des sites Web précédents utilisés par cet acteur, Google a déclaré que le nouveau site Web avait même un lien vers une clé publique PGP en bas de la page qui était connectée aux attaques de janvier.

[ RELATED: North Korean Gov Hackers Targeting Security Researchers ]

«En janvier, des chercheurs ciblés ont signalé que la clé PGP hébergée sur le blog de l’attaquant avait agi comme un leurre pour visiter le site où un exploit de navigateur attendait d’être déclenché», a expliqué Weidemann.

En plus de la fausse société d’évaluation de la sécurité «SecuriElite», la campagne comprenait également un lot de profils de médias sociaux soigneusement conçus pour donner de la crédibilité à la fausse tenue.

Weidemann de Google explique:

Le dernier lot de profils de médias sociaux de l’attaquant continue la tendance à se faire passer pour des collègues chercheurs en sécurité intéressés par l’exploitation et la sécurité offensive. Sur LinkedIn, nous avons identifié deux comptes se faisant passer pour des recruteurs pour des sociétés d’antivirus et de sécurité. Nous avons signalé tous les profils de médias sociaux identifiés aux plateformes pour leur permettre de prendre les mesures appropriées.

Pour le moment, nous n’avons pas observé que le nouveau site Web de l’attaquant diffusait du contenu malveillant, mais nous l’avons ajouté à Google Safebrowsing par précaution.

Weidemann a déclaré que le groupe avait déjà utilisé des exploits pendant des jours zéro en …