Des pirates informatiques soutenus par l’État nord-coréen distribuent une version malveillante d’une application légitime développée par CyberLink, un éditeur de logiciels taïwanais, pour cibler les clients en aval.
L’équipe Threat Intelligence de Microsoft a déclaré mercredi que des pirates nord-coréens avaient compromis CyberLink pour distribuer un fichier d’installation modifié de l’entreprise dans le cadre d’une attaque de grande envergure contre la chaîne d’approvisionnement.
CyberLink est une société de logiciels dont le siège est à Taiwan qui développe des logiciels multimédia, tels que PowerDVD, et la technologie de reconnaissance faciale AI. Selon le site Web de la société, CyberLink possède plus de 200 technologies brevetées et a commercialisé plus de 400 millions d’applications dans le monde.
Microsoft a déclaré avoir observé une activité suspecte associée au programme d’installation CyberLink modifié, suivi par la société sous le nom de « LambLoad », dès le 20 octobre 2023. Jusqu’à présent, il a détecté le programme d’installation du cheval de Troie sur plus de 100 appareils dans plusieurs pays, dont le Japon, Taiwan, le Canada et les États-Unis.
Le fichier est hébergé sur une infrastructure de mise à jour légitime appartenant à CyberLink, selon Microsoft, et les attaquants ont utilisé un certificat de signature de code légitime délivré à CyberLink pour signer l’exécutable malveillant, selon Microsoft. « Ce certificat a été ajouté à la liste des certificats non autorisés de Microsoft pour protéger les clients contre toute utilisation malveillante future du certificat », a déclaré l’équipe Threat Intelligence de Microsoft.
La société a noté qu’une charge utile de deuxième phase observée dans cette campagne interagit avec une infrastructure précédemment compromise par le même groupe d’acteurs malveillants.
Microsoft a attribué cette attaque avec « une grande confiance » à un groupe qu’il suit sous le nom de Diamond Sleet, un acteur étatique nord-coréen lié au célèbre groupe de piratage Lazarus. Ce groupe a été observé ciblant des organisations des secteurs des technologies de l’information, de la défense et des médias. Et il se concentre principalement sur l’espionnage, le gain financier et la destruction des réseaux d’entreprise, selon Microsoft.
Microsoft a déclaré qu’il n’avait pas encore détecté d’activité pratique sur le clavier, mais a noté que les attaquants de Diamond Sleet volaient généralement des données sur des systèmes compromis, infiltraient les environnements de création de logiciels, progressaient en aval pour exploiter d’autres victimes et tentaient d’obtenir un accès persistant aux environnements des victimes.
Microsoft a déclaré avoir informé CyberLink de la compromission de la chaîne d’approvisionnement, mais n’a pas précisé s’il avait reçu une réponse ou si CyberLink avait pris des mesures à la lumière des conclusions de l’entreprise. La société informe également les clients Microsoft Defender for Endpoint touchés par l’attaque.
CyberLink n’a pas répondu aux questions de TechCrunch.