Des pirates informatiques nord-coréens filmés en train d'utiliser des filtres d'IA lors de faux entretiens d'embauche

Des agents nord-coréens parrainés par l'État et appartenant au groupe APT Famous Chollima utilisent des deepfakes d'IA en temps réel pour postuler à des postes d'ingénieurs logiciels dans des entreprises de cryptomonnaies et du Web3.

Cette nouvelle campagne consiste pour ces agents à voler l'identité et le CV d'ingénieurs, puis à utiliser des filtres faciaux basés sur l'IA lors d'entretiens vidéo afin de dissimuler leur véritable apparence et d'usurper l'identité de leurs victimes. Leur objectif est d'infiltrer des entreprises occidentales à des fins d'espionnage industriel et de détournement de fonds, une tactique devenue courante ces dernières années.

Les analystes du renseignement sur les menaces de l'équipe Quetzal ont identifié deux tentatives d'infiltration consécutives menées par des informaticiens nord-coréens du groupe APT Famous Chollima, qui postulaient à des postes d'ingénieur logiciel senior dans une entreprise de cryptomonnaie.

Famous Chollima est une division du groupe Lazarus spécialisée dans le placement d'employés dans des entreprises occidentales, ciblant principalement des postes d'ingénierie logicielle dans les secteurs de la crypto, du Web3 et de la fintech, bien que des rapports récents montrent qu'ils se sont étendus au génie civil et à l'architecture.

Les auteurs de la menace, utilisant les identités volées d'ingénieurs mexicains nommés Mateo et Alfredo, ont participé à des entretiens vidéo avec des filtres faciaux d'IA en temps réel qui tentaient de reconstituer leur apparence, mais de nombreux détails ne correspondaient pas.

Lors des entretiens, la technologie deepfake a clairement montré des signes de défaillance. Le visage du premier candidat apparaissait fortement retouché : sa bouche restait fermée lorsqu’il parlait et ses dents ne suivaient aucun mouvement de ses lèvres.

Le second agent utilisait un filtrage plus subtil, mais affichait un comportement nerveux, se balançant constamment d'avant en arrière tout en gesticulant excessivement avec ses sourcils. Tous deux affirmaient avoir étudié l'ingénierie dans des universités mexicaines et résider respectivement à Jalisco et à Chihuahua, pourtant aucun ne prononça un seul mot d'espagnol lors de leur interrogatoire.

Leurs profils LinkedIn ont disparu immédiatement après la fin des entretiens, un schéma cohérent avec les précédentes tentatives d'infiltration de Chollima documentées par l'équipe Quetzal.

L' enquête a révélé que les deux agents se sont connectés via Astrill VPN , un service couramment utilisé par les utilisateurs chinois pour contourner le Grand Pare-feu et de plus en plus prisé par les informaticiens nord-coréens pour des activités frauduleuses.

Leurs connexions transitaient par des adresses IP européennes avant d'aboutir à des adresses IP résidentielles américaines appartenant à des fermes d'ordinateurs portables accessibles via des outils de bureau à distance. Les agents tentaient de dissimuler leur origine nord-coréenne en se faisant passer pour des candidats basés aux États-Unis et disposant de connexions résidentielles.

La récente tentative de pirates informatiques nord-coréens de dissimuler leur identité tout en cherchant un emploi dans des entreprises occidentales souligne l'importance pour les organisations qui recrutent à distance de procéder à des vérifications rigoureuses des antécédents et de collaborer étroitement avec les services de conformité. Cela peut inclure la vérification des pièces d'identité nationales et, lorsque la loi le permet, l'enregistrement des entretiens afin de confirmer l'authenticité des candidats.

Autrement, les conséquences peuvent être graves. En juillet, une habitante de l'Arizona a été condamnée à huit ans et demi de prison pour avoir aidé des pirates informatiques nord-coréens à perpétrer une escroquerie à l'emploi dans le secteur informatique d'un montant de 17 millions de dollars, visant plus de 300 entreprises américaines. Un rapport de mai 2025 a également révélé que des pirates informatiques nord-coréens avaient déjà dérobé plus de 88 millions de dollars en se faisant passer pour des professionnels de l'informatique américains grâce à de fausses identités.