Passer au contenu

Un mystérieux hacker se fait pirater 9 Go de secrets d’État… et son identité intrigue

Un mystérieux hacker d’État, d’abord assimilé au groupe nord-coréen Kimsuky, se fait pirater à son tour. Mais l’analyse de la fuite de données sème le trouble chez les experts : et si l’opérateur était en réalité chinois ? L’enquête est ouverte.

Deux pirates informatiques, agissant au nom d’une certaine éthique, ont infiltré les systèmes d’un hacker d’État, volé ses données et tout exposé publiquement. Mais alors que les premiers indices pointaient vers le célèbre groupe nord-coréen Kimsuky, l’analyse des experts sème le doute. La véritable identité de l’opérateur piraté se trouverait peut-être en Chine.

Un piratage au nom de l’éthique ?

Dans un message sans équivoque publié dans le magazine underground Phrack (PDF) lors de la conférence DEF CON, les deux hackers, qui se présentent sous les pseudonymes de Saber et cyb0rg. justifient leur acte par un profond désaccord avec les méthodes de leur cible, qu’ils ont baptisée KIM :

« Vous êtes motivés par la cupidité, pour enrichir vos dirigeants et servir leur agenda politique. […] Vous vous placez au-dessus des autres : vous êtes moralement pervertis. »

Leur manifeste est clair : exposer au grand jour les outils et les méfaits d’un groupe qu’ils considèrent comme la honte de la communauté hacker.

Une mine d’or pour les experts… et un puzzle à résoudre

Le butin numérique de 8,9 Go, hébergé sur le site de Distributed Denial of Secrets, est une véritable caverne d’Ali Baba pour les chercheurs. On y trouve un aperçu rare de la “cuisine interne” d’un acteur étatique :

  • Des preuves de phishing visant des cibles militaires de haut vol, comme le contre-espionnage sud-coréen, mais aussi des géants du web locaux (daum.net, kakao.com…).
  • Le code source complet de « Kebi », la plateforme e-mail des diplomates sud-coréens, sous la forme d’une archive .7z
  • Des listes nominatives de citoyens sud-coréens et d’universitaires, constituant des cibles pour de futures attaques.
  • Leur arsenal « maison », incluant un générateur de faux sites et des logiciels malveillants conçus pour être invisibles aux antivirus.
  • Des « armes » incontournables du cybercrime, comme Cobalt Strike pour s’infiltrer et des reverse shells pour prendre le contrôle des machines à distance.

Cette fuite de données va bien au-delà d’un simple vol. L’analyse de l’historique du navigateur Chrome du hacker met en avant des achats de VPN (PureVPN, ZoogVPN) via Google Pay pour masquer leurs traces, une fréquentation assidue de forums de hacking russes et chinois, et même l’utilisation de Google Translate pour comprendre des messages d’erreur.

Le grand débat : Kimsuky (Corée du Nord) ou un acteur chinois ?

C’est là que l’enquête devient passionnante. Les auteurs de la fuite, Saber et cyb0rg, penchent pour la piste nord-coréenne comme l’indique BleepingComputer. Toutefois, plusieurs experts de renom ne sont pas de cet avis.

Quelques éléments sèment le trouble et pointent vers le groupe de hackers nord-coréens. Le kit de phishing utilisé est identique à celui de Kimsuky et un nom de domaine utilisé n’est qu’à une lettre de différence d’une de leurs anciennes infrastructures. Cependant, de nombreux détails ne collent pas. Selon les experts de Trend Micro et TeamT5, cités par Dark Reading, le portrait-robot est celui d’un hacker chinois :

  • Il semble parler chinois et non coréen.
  • Son historique de navigation montre des visites sur des forums de hacking chinois.
  • Ses outils, notamment l’exploit RootRot, sont largement utilisés par des groupes APT chinois.
  • Ses activités de reconnaissance visaient des cibles taïwanaises, ce qui correspond davantage aux intérêts de Pékin qu’à ceux de Pyongyang.

Fyodor Yarochkin, chercheur chez Trend Micro, avance l’hypothèse suivante : « L’acteur est probablement chinois […] mais il est conscient de l’existence de Kimsuky et essaie peut-être d’imiter leur comportement pour semer la confusion chez les enquêteurs ». Un jeu de miroirs et de fausse bannière typique des opérations d’espionnage.

Quel impact ?

Qu’il soit chinois ou nord-coréen, cette humiliation publique est un véritable caillou dans la chaussure du groupe piraté. Comme l’a déclaré Charles Li de TeamT5, cette fuite va permettre d’améliorer considérablement la détection des attaques de ces groupes.

À court terme, leurs campagnes seront perturbées, et ils devront revoir toute leur infrastructure. Sur le long terme, cette affaire confirme une tendance : les fuites internes sont en train de devenir l’une des sources les plus précieuses pour comprendre les véritables capacités des cyber-espions étatiques.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Thomas Estimbre
Sur le même sujet
Les dernières actualités
Bp Cyberghost
Ce VPN parfait pour le divertissement revient à seulement 2,19 €/mois grâce à une remise immédiate de 82%
Amd Ryzen
Adieu Intel, bonjour AMD : à prix cassé, le processeur Ryzen 7 9800X3D plie le game 🚀
Xbox Series S X
Les prix des Xbox augmentent à nouveau aux États-Unis !
Philippe Miltin Outscale
« On n’a aucune dépendance technologique » vis-à-vis des États-Unis, le secret d’Outscale révélé par son DG
Xiaomi Pad 7 Pro
Par erreur ou pure folie, le prix de la tablette premium Xiaomi Pad 7 Pro touche le fond (-45%)
iOS 26
iOS 26 : 10 fonctions cachées pour bien maîtriser la dernière mise à jour de l’iPhone
iPhone 17 Pro Rayures
Des rayures au bout de quelques heures sur les iPhone 17 Pro
Avast
Avast passe à la vitesse supérieure : fini le simple antivirus, découvrez ses nouvelles promesses
Top téléchargements
Les tests à la une