Lors du Security Analyst Summit 2025, les experts de l\u2019\u00e9quipe mondiale de recherche et d\u2019analyse (GReAT) de Kaspersky ont pr\u00e9sent\u00e9 les activit\u00e9s du groupe APT BlueNoroff qui, d\u2019apr\u00e8s nous, serait un sous-groupe de Lazarus. Ils ont notamment d\u00e9crit en d\u00e9tail deux campagnes ciblant les d\u00e9veloppeurs et les cadres du secteur des cryptomonnaies, \u00e0 savoir GhostCall et GhostHire.<\/p>\n
Les acteurs de BlueNoroff sont avant tout motiv\u00e9s par l\u2019app\u00e2t du gain, et ils privil\u00e9gient actuellement les attaques contre les employ\u00e9s d\u2019entreprises travaillant avec la blockchain. Les cibles sont choisies avec soin, les pirates informatiques se pr\u00e9parant manifestement de fa\u00e7on tr\u00e8s minutieuse \u00e0 chaque attaque. Les campagnes GhostCall et GhostHire sont tr\u00e8s diff\u00e9rentes l\u2019une de l\u2019autre, mais elles reposent sur une infrastructure de gestion commune. C\u2019est pour cette raison que nos experts les ont regroup\u00e9es dans un seul rapport.<\/p>\n
La campagne GhostCall cible principalement les cadres de diverses entreprises. Les pirates informatiques tentent d\u2019infecter leurs ordinateurs avec des programmes malveillants con\u00e7us pour voler des cryptomonnaies, des identifiants, et des informations confidentielles avec lesquelles les victimes sont susceptibles de travailler. La principale plateforme qui int\u00e9resse les op\u00e9rateurs de GhostCall est macOS, probablement car les appareils Apple sont particuli\u00e8rement populaires aupr\u00e8s des cadres des entreprises modernes.<\/p>\n
Les attaques GhostCall commencent par une ing\u00e9nierie sociale assez complexe\u00a0: les pirates informatiques se font passer pour des investisseurs (en utilisant parfois les comptes vol\u00e9s d\u2019entrepreneurs r\u00e9els, et m\u00eame de v\u00e9ritables fragments d\u2019appels vid\u00e9o pass\u00e9s avec eux) et essaient d\u2019organiser une r\u00e9union pour discuter d\u2019un partenariat ou d\u2019un investissement. L\u2019objectif est d\u2019attirer la victime vers un site Internet qui imite Microsoft Teams ou Zoom. L\u00e0, un pi\u00e8ge classique les attend\u00a0: le site Internet affiche une notification signalant la n\u00e9cessit\u00e9 de mettre \u00e0 jour le client ou de corriger un probl\u00e8me technique. Pour ce faire, la victime est invit\u00e9e \u00e0 t\u00e9l\u00e9charger et \u00e0 ex\u00e9cuter un fichier, ce qui entra\u00eene l\u2019infection de l\u2019ordinateur.<\/p>\n
Pour obtenir plus de d\u00e9tails sur les diff\u00e9rentes cha\u00eenes d\u2019infection (qui, dans cette campagne, sont au moins au nombre de sept, dont quatre n\u2019avaient jamais \u00e9t\u00e9 rencontr\u00e9es auparavant par nos experts), ainsi que sur les indicateurs de compromission, consultez l\u2019article de blog publi\u00e9 sur le site Internet Securelist<\/a>.<\/p>\n GhostHire est une campagne qui cible les d\u00e9veloppeurs travaillant avec la blockchain. L\u2019objectif final est le m\u00eame, \u00e0 savoir infecter les ordinateurs avec un programme malveillant, mais la man\u0153uvre est diff\u00e9rente. Ici, les pirates informatiques attirent leurs victimes gr\u00e2ce \u00e0 des offres d\u2019emploi aux conditions avantageuses. Au cours des n\u00e9gociations, ils communiquent au d\u00e9veloppeur l\u2019adresse d\u2019un bot Telegram, qui fournit \u00e0 la victime un lien vers GitHub avec une t\u00e2che de test, ou qui lui permet de t\u00e9l\u00e9charger cette t\u00e2che de test dans une archive. Pour ne pas laisser le temps au d\u00e9veloppeur de r\u00e9fl\u00e9chir, le d\u00e9lai imparti pour effectuer la t\u00e2che est relativement court. Lors de l\u2019ex\u00e9cution du test, l\u2019ordinateur de la victime est infect\u00e9 par un programme malveillant.<\/p>\n Les outils utilis\u00e9s par les pirates informatiques dans le cadre de la campagne GhostHire et leurs indicateurs de compromission sont \u00e9galement pr\u00e9sent\u00e9s dans l\u2019article publi\u00e9 sur le blog Securelist<\/a>.<\/p>\n Bien que GhostCall et GhostHire ciblent plus particuli\u00e8rement les d\u00e9veloppeurs et les cadres d\u2019entreprise, les pirates informatiques s\u2019int\u00e9ressent avant tout \u00e0 l\u2019infrastructure op\u00e9rationnelle. Par cons\u00e9quent, la protection contre ces attaques incombe aux sp\u00e9cialistes de la s\u00e9curit\u00e9 informatique des entreprises. Voici donc nos recommandations\u00a0:<\/p>\n Sensibiliser r\u00e9guli\u00e8rement tous les employ\u00e9s des entreprises aux techniques utilis\u00e9es par les pirates informatiques d\u2019aujourd\u2019hui. La formation doit tenir compte de la nature du travail de certains sp\u00e9cialistes, notamment les d\u00e9veloppeurs et les responsables. Une telle formation peut \u00eatre organis\u00e9e au moyen d\u2019une plateforme en ligne sp\u00e9cialis\u00e9e, comme Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\nLa campagne GhostHire<\/h2>\n
Comment se prot\u00e9ger des attaques GhostCall et GhostHire\u00a0?<\/h2>\n