Les hackers nord-coréens d'APT37 pénètrent les réseaux air-gapped avec un nouveau kit malveillant

Le groupe de hackers nord-coréen APT37, également connu sous les noms de ScarCruft, Ricochet Chollima ou InkySquid, déploie une campagne baptisée Ruby Jumper pour infiltrer des réseaux air-gapped, ces systèmes informatiques isolés physiquement de tout réseau externe, y compris internet, par suppression des connexions Wi-Fi, Bluetooth ou Ethernet. Cette opération repose sur cinq outils malveillants inédits : RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK et FOOTWINE, analysés par les chercheurs de Zscaler ThreatLabz. L'infection commence par l'ouverture d'un fichier raccourci Windows malveillant (LNK) qui active un script PowerShell extrayant les charges utiles embarquées. Pour masquer l'attaque, le script ouvre un document leurre : une traduction arabe d'un article de presse nord-coréen sur le conflit israélo-palestinien, suggérant des cibles au Moyen-Orient intéressées par la propagande de Pyongyang. Les outils facilitent le transfert de données et de commandes entre systèmes connectés et air-gapped via des supports amovibles comme des clés USB, une méthode courante dans les infrastructures critiques, militaires ou de recherche. Actif depuis au moins 2012, APT37 a élargi ses cibles depuis 2017 à des entités au Japon, au Vietnam et au Moyen-Orient, dans des secteurs comme l'aéronautique ou la santé. Bien que les victimes précises de Ruby Jumper ne soient pas nommées, cette évolution renforce les capacités d'espionnage du groupe. Découverte en décembre par Zscaler, la campagne a fait l'objet d'un rapport publié le 26 février. Les réseaux air-gapped, prisés pour leur sécurité, restent vulnérables aux vecteurs physiques, obligeant les organisations à renforcer les contrôles sur les médias amovibles.