Des pirates informatiques liés à la Corée du Nord utilisent l’IA pour falsifier une identité militaire sud-coréenne dans le cadre d’une attaque de phishing

Un groupe de pirates nord-coréens présumé a été découvert en train d’utiliser ChatGPT pour générer un faux document d’identification militaire sud-coréen dans le cadre d’une campagne de phishing, selon un rapport de Bloomberg citant des recherches menées par Genians, une société sud-coréenne de cybersécurité.

Au lieu d’intégrer une image réelle, les attaquants ont lié la fausse carte d’identité à un logiciel malveillant conçu pour extraire des informations sensibles des appareils.

L’incident met en évidence la façon dont les agents nord-coréens déploient de plus en plus d’outils d’intelligence artificielle pour faire progresser le cyberespionnage, avec des cibles allant des journalistes et des militants des droits de l’homme aux chercheurs axés sur la Corée du Nord.

Des pirates informatiques déploient de fausses cartes d’identité militaires en Corée du Sud

Le groupe impliqué dans la dernière attaque a été identifié comme étant Kimsuky, une unité d’espionnage soupçonnée d’être parrainée par l’État nord-coréen.

Les chercheurs ont déclaré que les pirates avaient conçu une version préliminaire d’une carte d’identité militaire sud-coréenne à l’aide de ChatGPT, ce qui rendait leur e-mail de phishing plus crédible.

L’e-mail, envoyé à partir d’une adresse se terminant par .mli.kr – ressemblant beaucoup à un domaine militaire officiel sud-coréen – a été conçu pour inciter les destinataires à ouvrir la pièce jointe.

Une fois cliqué, le fichier déployait un logiciel malveillant capable d’extraire des données.

Parmi les cibles figuraient des journalistes sud-coréens, des militants des droits de l’homme et des chercheurs qui étudient la Corée du Nord.

On ne sait pas exactement combien de personnes ont été compromises.

L’histoire de l’espionnage et de l’utilisation de l’IA par Kimsuky

Kimsuky a déjà été lié à des efforts d’espionnage contre des cibles sud-coréennes et internationales.

Dans un avis de 2020, le département américain de la Sécurité intérieure a déclaré que le groupe « est très probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ».

Le rapport de Genians est le dernier en date à montrer que des pirates nord-coréens présumés utilisent l’intelligence artificielle dans le cadre de leurs opérations.

En août, Anthropic a rapporté que des pirates nord-coréens avaient utilisé Claude Code, un autre outil d’IA, pour obtenir des emplois à distance dans des entreprises américaines du Fortune 500.

Le chatbot d’IA a aidé les opérateurs à créer de fausses identités convaincantes, à réussir des évaluations techniques et à effectuer des tâches de codage une fois embauchés.

Plus tôt cette année, OpenAI a déclaré qu’elle avait interdit les comptes liés à la Corée du Nord qui utilisaient ses services pour créer des CV frauduleux, des lettres de motivation et du contenu sur les réseaux sociaux dans le cadre de tentatives de recrutement.

Les enquêteurs testent les restrictions de l’IA

Les chercheurs de Genians ont confirmé que ChatGPT avait d’abord rejeté les tentatives de générer une pièce d’identité émise par le gouvernement, car la reproduction de tels documents est illégale en Corée du Sud.

Cependant, en modifiant l’invite, les restrictions ont été contournées et les pirates ont pu créer une fausse image de brouillon.

L’utilisation de l’IA dans ces cyberattaques montre à quelle vitesse les modèles génératifs peuvent être adaptés à des fins malveillantes.

Les chercheurs avertissent que les attaquants utilisent l’IA non seulement pour créer des images convaincantes, mais aussi pour le développement de logiciels malveillants, la planification de scénarios d’attaque et l’usurpation d’identité des recruteurs.

Cyberattaques liées aux efforts de financement de la Corée du Nord

Les responsables américains ont longtemps allégué que la Corée du Nord utilisait des cyberattaques, des vols de crypto-monnaie et des contrats informatiques déguisés pour recueillir des renseignements et générer des revenus.

Ces opérations, selon les évaluations du gouvernement américain, sont conçues pour échapper aux sanctions et financer le programme d’armes nucléaires de Pyongyang.

La tentative de phishing contre des cibles sud-coréennes est un autre exemple de la façon dont l’IA est intégrée dans de telles opérations.

Bien que l’attaque ait utilisé une fausse carte d’identité militaire comme appât, l’objectif plus large est resté cohérent avec les tactiques nord-coréennes précédentes : extraire des données et étendre les capacités de cyberespionnage.