Dakar, 23 Octobre 2025(JVFE)-Le groupe de hackers Lazarus, affilié à la Corée du Nord, est en train de multiplier les cyberattaques contre des fabricants européens de drones. Il utilise notamment des offres d’emploi fictives pour piéger les victimes.
Au fil des ans, les actions de Lazarus Group sont considérées par les acteurs de la cybersécurité comme du hacking « made in North Korea ». La montée en puissance du groupe de hackers démontre la place grandissante de ces experts en informatique dans l’appareil de l’Etat. Néanmoins, Lazarus Group ne défend pas seulement l’idéologie du régime de Pyongyang en s’attaquant à ses ennemis, il est aussi à l’origine de nombreux crimes financiers.
Quel est le point commun entre le ransomware Wannacry en 2017 et la cyberattaque contre Sony en 2014 ? Les deux ont marqué l’histoire de la cybersécurité de ces dernières années. De plus, ces attaques auraient été perpétrées par le même auteur : Lazarus Group. Ce groupe de cybercriminels multiplie les cibles depuis sa création, allant des institutions financières aux firmes multinationales comme Sony. Les enquêtes menées par différentes autorités gouvernementales dirigées par les États-Unis ont révélé l’implication de la Corée du Nord dans les agissements de ce groupe.
Ce groupe de hackers, tristement célèbre, porte bien des noms, comme APT 38, Hidden Cobra ou encore Guardians of Peace. Les experts en cybersécurité ont imputé à Lazarus Group plusieurs cyberattaques sophistiquées. Parmi ses cibles, on retrouve des institutions financières, des entreprises et des gouvernements.
Lazarus Group se fait connaître dans l’univers de la cybersécurité à partir de 2009. Ces cybercriminels s’appuient sur un mode opératoire particulier : l’espionnage, le sabotage puis le profit financier.
Le groupe entretient le flou quant à sa structure, sa hiérarchisation et ses actions. Néanmoins, les recherches des autorités gouvernementales menées par les États-Unis ont mené au gouvernement de la Corée du Nord.
En effet, plusieurs citoyens nord-coréens sont accusés par le ministère américain de la Justice de vols de crypto-monnaies entre 2014 et 2020. Toutes les preuves relient les inculpés à Lazarus Group. L’enquête a également permis d’établir un lien entre le régime de Pyongyang et le groupe.
Ce peu d’informations que l’on détient marque une avancée majeure pour comprendre les agissements des hackers. Les témoignages de transfuges du régime apportent d’autres renseignements. Le groupe Lazarus ferait partie du Bureau Général de reconnaissance sous le nom « Bureau de liaison 414 ». Il s’agit d’une division du renseignement militaire de la Corée du Nord.
Rappelons que le dirigeant Kim Jong-un considérait déjà la cyberguerre comme une « arme magique » en 2013. À l’époque, les agissements de Lazarus Group passaient encore discrètement.
Ceci explique pourquoi les principales cibles de Lazarus Group sont majoritairement des entités sud-coréennes et américaines. Néanmoins, le groupe a étendu son activité, lui valant une réputation à l’échelle internationale.
Le nombre de hackers qui composent le groupe est difficile à estimer. D’après un rapport du renseignement britannique en 2021, ils sont plus de 6 000 à travailler pour la structure. Sachant que la Corée du Nord ne dispose pas de toutes les infrastructures pour abriter ses talents, la plupart d’entre eux sont basés dans d’autres pays comme la Biélorussie, la Chine, la Malaisie ou encore l’Inde.
Le piratage de Sony : la première campagne à l’international
Le groupe était jusque-là plutôt discret avec ses campagnes d’espionnage d’entités en Corée du Sud. Le piratage des serveurs de Sony va le faire connaître sur la scène internationale. Une semaine après l’attaque, des centaines de documents internes de la multinationale japonaise sont dérobés. Des films d’essais de Sony Pictures se trouvent sur internet. Quelques jours plus tard, les salaires des dirigeants sont également divulgués publiquement.
Les employés de Sony ont reçu des messages menaçants provenant d’un groupe dénommé « Gardiens de la paix ». Celui-ci avertit qu’il ne s’agit là « que le début ». Les rumeurs ont commencé à circuler sur l’implication de la Corée du Nord, notamment le journal « Re/code », une accusation réfutée par le pays dans un premier temps.
Néanmoins, près d’un mois après l’attaque, le FBI révèle officiellement dans son rapport la responsabilité de Pyongyang.
Les conséquences sont désastreuses pour Sony Pictures, contraint d’annuler la projection de l’un de ses films : The Interview. Ce film satirique sur le dirigeant nord-coréen serait à l’origine de l’attaque.
Une nouvelle vague d’attaques informatiques, orchestrées par le groupe Lazarus contre trois européennes du secteur des drones militaires, vient d’être identifiée. ESET Research a levé le voile sur cette campagne baptisée DreamJob, menée par le redoutable groupe de hackers nord-coréens. Les sociétés qui ont mordu à l’hameçon ont été infiltrées à l’aide de fausses offres d’emploi contenant le malware ScoringMathTea. Pyongyang cherche à voler des données sensibles et du savoir-faire industriel sur les drones déployés en Ukraine.
Une arnaque à l’emploi qui cache un piège redoutable
Le piège est simple, mais redoutable. Imaginez recevoir une offre d’emploi en or dans l’aérospatiale. Pour en savoir plus, on vous envoie un document détaillant le poste, accompagné d’un logiciel de lecture PDF. Sauf que ce lecteur PDF est en réalité piégé, puisqu’il installe discrètement un programme malveillant baptisé ScoringMathTea. Une fois activé, ce cheval de Troie ouvre les portes du système informatique aux pirates qui peuvent alors fouiller librement dans les données sensibles de l’entreprise.
Cette technique d’infiltration, empruntée à l’ingénierie sociale, joue sur la confiance des victimes, plutôt que sur les failles techniques. Lazarus maîtrise très bien cet art de la manipulation. Le groupe, qui sévit depuis 2009 sous diverses identités dont HIDDEN COBRA, a déjà frappé partout dans le monde, d’une entreprise tech en Inde début 2023 à un industriel de défense polonais en mars, en passant par une société britannique d’automatisation et un fabricant aérospatial italien en septembre dernier.
Pour brouiller les pistes, les hackers dissimulent leurs logiciels malveillants dans des projets informatiques en apparence légitimes, hébergés sur GitHub, la plateforme préférée des développeurs. Leurs attaques passent ainsi sous les radars des antivirus classiques. Le malware ScoringMathTea peut en plus exécuter une quarantaine de commandes différentes, de quoi manipuler fichiers et processus, collecter des informations système ou télécharger d’autres outils depuis un serveur de commande. Ça, c’était pour la forme.
