Apt38
UNC1069 (Cryptocore), UNC4899 (TraderTraitor)
Des indicateurs limités suggèrent que les grappes de menace GTIG voient comme UNC1069 (publiquement appelé Cryptocore) et UNC4899 (également signalé comme Tradotraitor) sont des successeurs de l’APT38 désormais disparu. Ces clusters se concentrent sur le gain financier, principalement en ciblant les entités de crypto-monnaie et de blockchain. En décembre 2024, un déclaration conjointe Révoqué par le FBI américain, DC3, et l’agence nationale de police du Japon (NPA), a rendu compte du vol de crypto-monnaie de TraderTraitor, alors évalué à 308 millions de dollars d’une entreprise basée au Japon.
APT43 (Kimsuk)
APT43, un cyber-acteur prolifique dont les exigences de collecte s’alignent sur la mission du RVB, se finance par le biais des opérations de cybercriminalité pour soutenir sa mission principale de collecte d’intelligence stratégique, contrairement aux groupes axés principalement sur la génération de revenus comme APT38. Bien que le ciblage d’espionnage du groupe soit large, il a démontré un intérêt particulier pour la politique étrangère et la sécurité nucléaire, tirant parti des capacités techniques modérément sophistiquées couplées à des tactiques d’ingénierie sociale agressives contre les organisations gouvernementales, le monde universitaire et les tanks de réflexion. Pendant ce temps, les opérations à motivation financière d’APT43 se concentrent sur le vol et le blanchiment de la crypto-monnaie pour acheter des infrastructures opérationnelles.
UNC3782
APT45 (Andariel)
APT45, un cyber opérateur nord-coréen actif depuis au moins 2009, a mené des opérations d’espionnage en se concentrant sur le gouvernement, la défense, le nucléaire et la santé et les entités pharmaceutiques. Le groupe a également élargi son mandat à des opérations motivées financièrement, et nous soupçonnons qu’elle s’est engagée dans le développement de ransomwares, le distinguant des autres acteurs de la RPDC-Nexus.
Travailleurs informatiques de la RPRC
Les travailleurs informatiques de la RPDC se présentent en tant que ressortissants non nord-coréens à la recherche d’emploi dans un large éventail d’organisations dans le monde pour générer des revenus pour le régime nord-coréen, ce qui lui permet d’échapper sanctions et financer ses programmes d’armes de destruction massive (WMD) et de missiles balistiques. Les travailleurs informatiques ont également de plus en plus exploité leur accès privilégié dans les organisations employeurs pour s’engager ou permettre une activité d’intrusion malveillante et, dans certains cas, extorquer ces organisations avec des menaces de fuites de données ou des ventes d’informations propriétaires de l’entreprise après la cessation de leur emploi.,
Bien que les opérations des travailleurs informatiques de la RPDC soient largement signalées pour cibler les entreprises américaines, elles se sont de plus en plus étendues à l’Europe et à d’autres parties du monde. Les tactiques pour échapper à la détection incluent l’utilisation de Compagnies frontales et services de “facilitateurs“des individus non nord-coréens qui fournissent services tels que l’argent et / ou le blanchiment des crypto-monnaies, l’assistance pendant le processus d’embauche et les ordinateurs portables de l’entreprise et l’hébergement pour permettre aux travailleurs un accès à distance en échange d’un pourcentage des revenus des travailleurs.
#Cybercriminalité #une #menace #sécurité #nationale #multiforme