APT
Lors du Security Analyst Summit 2025, les experts de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky ont présenté les activités du groupe APT BlueNoroff qui, d’après nous, serait un sous-groupe de Lazarus. Ils ont notamment décrit en détail deux campagnes ciblant les développeurs et les cadres du secteur des cryptomonnaies, à savoir GhostCall et GhostHire.
Les acteurs de BlueNoroff sont avant tout motivés par l’appât du gain, et ils privilégient actuellement les attaques contre les employés d’entreprises travaillant avec la blockchain. Les cibles sont choisies avec soin, les pirates informatiques se préparant manifestement de façon très minutieuse à chaque attaque. Les campagnes GhostCall et GhostHire sont très différentes l’une de l’autre, mais elles reposent sur une infrastructure de gestion commune. C’est pour cette raison que nos experts les ont regroupées dans un seul rapport.
La campagne GhostCall
La campagne GhostCall cible principalement les cadres de diverses entreprises. Les pirates informatiques tentent d’infecter leurs ordinateurs avec des programmes malveillants conçus pour voler des cryptomonnaies, des identifiants, et des informations confidentielles avec lesquelles les victimes sont susceptibles de travailler. La principale plateforme qui intéresse les opérateurs de GhostCall est macOS, probablement car les appareils Apple sont particulièrement populaires auprès des cadres des entreprises modernes.
Les attaques GhostCall commencent par une ingénierie sociale assez complexe : les pirates informatiques se font passer pour des investisseurs (en utilisant parfois les comptes volés d’entrepreneurs réels, et même de véritables fragments d’appels vidéo passés avec eux) et essaient d’organiser une réunion pour discuter d’un partenariat ou d’un investissement. L’objectif est d’attirer la victime vers un site Internet qui imite Microsoft Teams ou Zoom. Là, un piège classique les attend : le site Internet affiche une notification signalant la nécessité de mettre à jour le client ou de corriger un problème technique. Pour ce faire, la victime est invitée à télécharger et à exécuter un fichier, ce qui entraîne l’infection de l’ordinateur.
Pour obtenir plus de détails sur les différentes chaînes d’infection (qui, dans cette campagne, sont au moins au nombre de sept, dont quatre n’avaient jamais été rencontrées auparavant par nos experts), ainsi que sur les indicateurs de compromission, consultez l’article de blog publié sur le site Internet Securelist.
La campagne GhostHire
GhostHire est une campagne qui cible les développeurs travaillant avec la blockchain. L’objectif final est le même, à savoir infecter les ordinateurs avec un programme malveillant, mais la manœuvre est différente. Ici, les pirates informatiques attirent leurs victimes grâce à des offres d’emploi aux conditions avantageuses. Au cours des négociations, ils communiquent au développeur l’adresse d’un bot Telegram, qui fournit à la victime un lien vers GitHub avec une tâche de test, ou qui lui permet de télécharger cette tâche de test dans une archive. Pour ne pas laisser le temps au développeur de réfléchir, le délai imparti pour effectuer la tâche est relativement court. Lors de l’exécution du test, l’ordinateur de la victime est infecté par un programme malveillant.
Les outils utilisés par les pirates informatiques dans le cadre de la campagne GhostHire et leurs indicateurs de compromission sont également présentés dans l’article publié sur le blog Securelist.
Comment se protéger des attaques GhostCall et GhostHire ?
Bien que GhostCall et GhostHire ciblent plus particulièrement les développeurs et les cadres d’entreprise, les pirates informatiques s’intéressent avant tout à l’infrastructure opérationnelle. Par conséquent, la protection contre ces attaques incombe aux spécialistes de la sécurité informatique des entreprises. Voici donc nos recommandations :
Sensibiliser régulièrement tous les employés des entreprises aux techniques utilisées par les pirates informatiques d’aujourd’hui. La formation doit tenir compte de la nature du travail de certains spécialistes, notamment les développeurs et les responsables. Une telle formation peut être organisée au moyen d’une plateforme en ligne spécialisée, comme Kaspersky Automated Security Awareness Platform.
Utiliser des solutions de sécurité modernes sur tous les appareils professionnels que les employés utilisent pour communiquer avec le monde extérieur.
Conseils