TA427 : Maîtriser l’Art de la Collecte d’Informations

TA427 continue d’évoluer et d’affiner ses techniques de collecte d’informations.

Le groupe TA427, également connu sous les noms d’Emerald Sleet, APT43, THALLIUM ou Kimsuky, se démarque par son expertise en ingénierie sociale et sa capacité à exploiter diverses tactiques pour mener à bien ses opérations.

Affilié à la Corée du Nord et travaillant en soutien du Bureau Général de Reconnaissance (RGB), TA427 a évolué pour devenir une force redoutable dans le paysage de la cybersécurité internationale.

L’une des caractéristiques les plus distinctives de TA427 est sa capacité à utiliser l’ingénierie sociale pour soutenir les efforts de collecte de renseignements stratégiques de la Corée du Nord, en se concentrant notamment sur les initiatives de politique étrangère des États-Unis et de la République de Corée.

Ces informations proviennent en grande partie du rapport de Proofpoint daté du 16 avril 2024, soulignant ainsi l’importance et la pertinence de ces observations pour la sécurité numérique mondiale.

Une gamme de tactiques sophistiquées :

Pour parvenir à ses fins, TA427 déploie une gamme de tactiques sophistiquées. L’une de ces tactiques consiste à abuser du protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) en conjonction avec l’utilisation d’adresses e-mail gratuites, ce qui lui permet de contourner les mesures de sécurité et de se faire passer pour des entités légitimes dans ses communications.

L’exploitation du typosquatting :

En outre, le groupe exploite le typosquatting, une technique qui implique la création de domaines Internet similaires à ceux d’organisations légitimes, afin de tromper les victimes et de les inciter à divulguer des informations sensibles. De plus, TA427 utilise l’usurpation de comptes de messagerie privés pour accéder à des informations confidentielles et compromettre la sécurité des communications.

L’utilisation de balises Web :

Une nouvelle tactique récemment observée chez TA427 est l’utilisation de balises Web, également connues sous le nom de pixels de suivi ou de balises de suivi. Ces éléments, souvent intégrés dans des e-mails ou des documents, permettent au groupe de surveiller les activités en ligne des destinataires et de recueillir des informations précieuses sur leurs comportements et leurs intérêts.

Depuis 2023, TA427 a adopté une approche plus ciblée en sollicitant directement des experts en politique étrangère par le biais de conversations apparemment inoffensives initiées par courriel. En se faisant passer pour des individus légitimes et en abordant des sujets tels que le désarmement nucléaire, les politiques américano-coréennes et les sanctions, le groupe cherche à obtenir des informations sensibles et des perspectives stratégiques auprès de ses cibles.

En ce qui concerne ses cibles, TA427 a une préférence pour les individus travaillant dans certains secteurs verticaux, notamment les groupes de réflexion et les organisations non gouvernementales (ONG), les médias, les universités et les gouvernements. En usurpant l’identité de personnes appartenant à ces secteurs, le groupe cherche à établir des contacts avec des individus influents et à exploiter leur accès à des informations stratégiques.

En conclusion :

TA427 continue d’évoluer et d’affiner ses techniques de collecte d’informations, représentant ainsi une menace persistante pour la sécurité des organisations et des individus. La vigilance et une bonne hygiène de sécurité demeurent essentielles pour contrer les activités de ce groupe sophistiqué.

A propos de l'auteur

Retour en haut