Quand les pirates de Pyongyang se mettent au ransomware

Septembre 2024. Le mois vient de commencer et les équipes de l’unité 42 de Palo Alto Networks sont appelées à intervenir en réponse à un incident impliquant le rançongiciel Play. 

L’enquête permet de déterminer que tout avait commencé plus tôt, au mois de mai, avec l’établissement d’un accès initial via un compte utilisateur compromis. De là, l’assaillant « a effectué des déplacements latéraux et établi sa persistance en diffusant l’outil open source Sliver ». Mais pas uniquement : à cela s’est ajouté DTrack, un outil beaucoup plus spécifique dont le déploiement a été documenté dans les phases préalables au déclenchement du rançongiciel Maui. Derrière ces activités ? Andariel – que Palo Alto Networks suit sous le nom de Jumpy Pisces – lié à Corée du Nord. 

C’est cela qui, pour les équipes de l’unité 42, trahit la marque de Pyongyang. Et il y a plus : l’accès initial exploité et renforcé avec l’outillage d’Andariel a été utilisé pour les activités ayant conduit, in fine, au déploiement du ransomware Play.

Pour les chercheurs de Palo Alto Networks, « on ne sait toujours pas si Jumpy Pisces est officiellement devenu un affidé de Play ou s’il a agi en tant qu’IAB en vendant un accès au réseau aux acteurs de Play ».

Un tel positionnement dans la chaîne de valeur du ransomware ne manquerait assurément pas d’intérêt pour l’exploiter à ses propres fins, tout en avançant masqué. Mais ce n’est pas la première fois que la main de Pyongyang est soupçonnée derrière une opération de cyberextorsion. Recorded Future et SentinelOne ont publié des recherches évoquant cette hypothèse en juin dernier.