Des membres du Threat Analysis Group de Google ont alerté des chercheurs en sécurité d’avoir été pris comme cibles par « une entité basée en Corée du Nord et soutenue par le gouvernement ». Les pirates essayaient d’attirer les chercheurs via un blog et des comptes Twitter en cliquant sur certains liens, soumettant ainsi les victimes à un malware.

En effet, le Threat Analysis Group (TAG) de Google, qui s’occupe du suivi des cyberattaques, a révélé que des pirates ciblaient des chercheurs en sécurité travaillant dans plusieurs organisations publiques et privées. Le TAG attribue cette campagne à « une entité basée en Corée du Nord et soutenue par le gouvernement ». Les pirates emploient une méthode d’ingénierie sociale, basée sur l’exploitation des failles humaines pour voler des informations ou encore arnaquer les victimes. Effectivement, ces pirates ont créé un blog de recherche afin d’interagir avec leurs potentielles victimes.

Les acteurs malveillants ont publié sur leurs profils Twitter – créés pour l’occasion – des liens vers leur blog, vers des vidéos, ou encore vers des résultats de recherche et ont retweeté les publications d’autres comptes qu’ils contrôlaient. Le blog de ces pirates a été nommé « BrownSec3Labs », et contenait des articles, des analyses de failles et des publications de scientifiques « invités » sur le blog sans leur consentement, afin d’attirer le plus de chercheurs en sécurité.

Dernièrement, les pirates ont partagé via Twitter une vidéo YouTube dans laquelle ils prétendaient avoir exploité CVE-2021-1647, une faille qui affecte le moteur de protection anti-malware Defender de Microsoft récemment corrigée. De nombreuses personnes ont signalé à travers des commentaires que la vidéo était certainement falsifiée, ce qui a poussé les hackers à utiliser un second compte Twitter pour retweeter le message d’origine et affirmer qu’il ne s’agissait pas du tout d’une « fausse vidéo ».

Les pirates proposaient aussi à leurs cibles de participer au projet de recherche connu sous le nom de « Virtual Studio », qui cachait un malware. Dans certains cas, des chercheurs ont accédé à un lien Twitter qui les a dirigés vers un article hébergé sur le faux blog et après un court laps de temps, un logiciel malveillant a été installé dans leur système d’information, accompagné d’une porte dérobée permettant aux pirates d’accéder librement aux contenus de leurs victimes.

Etant donné que le groupe TAG n’a pas encore tout découvert, il encourage donc tout utilisateur découvrant une faille à la signaler à travers le Vulnerability Reward Program (VRP), le programme de bug bounty de Google.