ChatGPT utilisé par des pirates nord-coréens pour arnaquer les utilisateurs de LinkedIn

Microsoft a confirmé que des groupes de hackers nord-coréens utilisent des outils d'IA comme ChatGPT pour escroquer les gens et leur soutirer des informations sensibles sur des plateformes comme LinkedIn, alors que le pays tente d'attirer davantage de fonds dans son programme d'armes nucléaires.

La Corée du Nord, qui interdit l'utilisation d'Internet à ses citoyens ordinaires, pourrait également utiliser des modèles de langage étendus (LLM) pour développer de nouveaux types de logiciels malveillants sophistiqués , selon des rapports récents, qui mentionnent également Facebook et WhatsApp comme terrains de chasse des escrocs.

Les arnaques à l’IA de Pyongyang ne sont cependant pas toujours convaincantes. Poursuivez votre lecture pour en savoir plus sur les dernières cyberattaques de ce pays paria et pour obtenir des conseils pratiques sur la façon de les déjouer.

Des hackers nord-coréens se font passer pour des recruteurs sur LinkedIn

Même si l'on n'associe peut-être pas la République populaire démocratique de Corée (RPDC) à des niveaux élevés de connaissances technologiques, Microsoft a récemment confirmé au FT que des groupes de pirates informatiques dans le pays lancent des cyberattaques de plus en plus sophistiquées contre les cols blancs américains en utilisant ChatGPT.

Dans un rapport récemment publié par Microsoft – qui est actuellement en partenariat avec le créateur de ChaGPT OpenAI – il a été révélé que les pirates nord-coréens utilisent des modèles de langage étendus (LLM) pour générer du contenu « qui serait probablement utilisé dans des campagnes de spear phishing », alors que des des accusations ont été portées contre des pays comme l’Iran, la Russie et la Chine.

Même si la Corée du Nord est notoirement louche en ce qui concerne ses opérations internes, il semblerait que l'argent récolté grâce à ses activités criminelles soit utilisé pour financer ses programmes de missiles balistiques et nucléaires, selon un groupe d'experts de l'ONU.

Ces attaques, qui semblent cibler principalement les employés des sociétés mondiales de cybersécurité, de défense mondiale et de cryptographie, ont lieu sur un certain nombre de plateformes de médias sociaux comme Facebook, WhatsApp, Discord et Telegram. Cependant, la majorité des escroqueries par phishing semblent cibler les utilisateurs du site de réseautage professionnel LinkedIn.

Selon Erin Plante, vice-présidente de la société de cybersécurité Chainalysis, les groupes de hackers nord-coréens utilisent l'outil d'IA pour créer des profils de recruteurs soignés et crédibles sur LinkedIn. L'IA générative aide à discuter, à envoyer des messages, à créer des images et de nouvelles identités — tout ce dont vous avez besoin pour établir cette relation étroite avec votre cible », a expliqué Plante.

"Les attaques deviennent très sophistiquées — nous ne parlons pas d'un courriel mal rédigé qui dit 'cliquez sur ce lien', - Erin Plante, vice-présidente de la société de cybersécurité Chainalysis.

Les campagnes de phishing nord-coréennes ne sont pas nouvelles : Lazurus – un important cybergang soutenu par l'État et actif depuis 2009 – a fait la une des journaux l'année dernière pour s'être fait passer pour un recruteur Meta alors qu'il ciblait une entreprise aérospatiale espagnole. Cependant, Plante estime que les escroqueries deviennent de plus en plus convaincantes, en raison de l'évolution rapide des modèles LLM.

Plante a souligné un cas où un ingénieur principal d'une bourse japonaise de crypto-monnaie a été amené à mener un « exercice technique » par un faux recruteur de LinkedIn, ce qui a entraîné l'infection du système de son entreprise par un logiciel espion nord-coréen.

Les groupes de hackers investissent également beaucoup de temps dans ces campagnes pour que leurs demandes paraissent aussi légitimes que possible. « Il s’agit de profils détaillés sur LinkedIn et d’autres plateformes de médias sociaux, qu’ils utilisent pour nouer des relations au fil des semaines et des mois », explique-t-elle.

La Corée du Nord pourrait également utiliser l’IA pour développer des logiciels malveillants

Mais les groupes nord-coréens ne se contentent pas d’exploiter l’IA pour orchestrer des tentatives de phishing.

Selon Shreyas Reddy, analyste du service d'information NK Pro basé à Séoul, les acteurs soutenus par l'État pourraient également utiliser des outils d'IA comme ChatGPT pour développer des logiciels malveillants encore plus sophistiqués afin d'infiltrer les réseaux de leurs victimes.

"Il existe des garanties dans ces services pour empêcher leur utilisation à des fins malveillantes", a déclaré Reddy au Financial Times, ajoutant "mais les gens ont réussi à s'y retrouver".

Bien que l'accès à Internet soit strictement interdit au citoyen nord-coréen moyen, l'utilisation de l'IA dans le pays est bien antérieure à l'origine de groupes de piratage informatiques de premier plan comme Lazarus. Le surnommé Royaume-Ermite a commencé à intensifier ses cyberprojets dans les années 1980 et 1990, lorsque Kim Il Sung a développé pour la première fois les programmes de missiles balistiques et nucléaires du pays.

Les éditeurs nord-coréens ont depuis publié des centaines d’articles de recherche sur l’intelligence artificielle, avec des études récentes datant de 2022 explorant une méthode d’apprentissage automatique appelée « apprentissage par renforcement » dans une situation de jeu.

Cependant, malgré l'engagement de longue date du pays en faveur de l'IA, ses applications ne sont pas infaillibles, et il existe de nombreuses façons pour les employés de différencier les fausses escroqueries au recrutement des vraies affaires, comme nous l'explorerons ensuite.

Comment repérer les fausses escroqueries de recruteurs LinkedIn nord-coréens

La Corée du Nord investit peut-être beaucoup d’argent dans ses cyberattaques basées sur l’IA, mais cela ne signifie pas qu’elles réussissent toujours. Les groupes de hackers se heurtent à d’importantes barrières linguistiques lorsqu’ils mènent des opérations d’ingénierie sociale et sont souvent surpris par leur incapacité à comprendre les expressions familières des langues étrangères.

Des escroqueries similaires dans lesquelles des Nord-Coréens se faisaient passer pour des candidats ont été déjouées par des problèmes similaires. Plusieurs entreprises américaines ont cité des cas inhabituels où des acteurs nord-coréens, se faisant passer pour des candidats américains, ont déclenché des signaux d'alarme en refusant d'allumer leurs caméras, en scénarisant leurs réponses et en ne répondant pas dans un anglais compétent.

En raison de ces défis, les principaux signes révélateurs auxquels les utilisateurs de LinkedIn doivent prêter attention sont un mauvais anglais, des malentendus culturels et une hésitation à allumer la caméra. En général, il est également de bonne pratique d’inspecter attentivement le profil du recruteur et de faire des recherches sur l’entreprise.