L'évolution de la menace des travailleurs fantômes nord-coréens met en évidence un environnement mondial dynamique en matière de risques

Pour dissimuler leur véritable identité et leur localisation, les travailleurs fantômes utilisent des VPN et des proxys et louent ou achètent souvent des comptes de freelance auprès d'utilisateurs réels en Chine, en Inde ou au Viêt Nam. Leurs CV peuvent également inclure des profils LinkedIn et des comptes GitHub bien entretenus avec des mises à jour fréquentes du code. Ils demandent généralement à être payés en crypto-monnaie ou via des plateformes comme PayPal. Le gouvernement nord-coréen leur fournit de faux documents, comme de faux passeports et de faux diplômes, pour les aider à passer les contrôles initiaux des RH ou des clients. Pyongyang crée également des sociétés écrans ou de fausses startups pour employer ces travailleurs, leur donnant ainsi une apparence de légitimité. 

L'objectif premier des travailleurs fantômes est de reverser leurs salaires au gouvernement nord-coréen ; cependant, ils peuvent également introduire des codes malveillants ou créer des portes dérobées pour un accès permanent, voler des informations propriétaires de l'entreprise, telles que le code source ou des données sensibles sur les clients, et crypter des données en exigeant le paiement d'une rançon pour le décryptage. Les organisations qui emploient et rémunèrent involontairement des travailleurs fantômes peuvent se trouver en violation des lois et sanctions locales visant la Corée du Nord et s'exposer à un vol de propriété intellectuelle ou de données, à une atteinte à leur réputation, à des amendes et à une responsabilité pénale potentielle.

Avec l'essor du travail à distance, la Wagemole peut exploiter une sécurité laxiste en matière d'accès à distance et une mauvaise gestion des informations d'identification pour intégrer des travailleurs fantômes au sein des entreprises ciblées. Presque toutes les organisations sont exposées à des risques, mais les plus visées sont les petites et moyennes entreprises qui traitent des données sensibles, en particulier celles des secteurs des crypto-monnaies et de la technologie. Pour atténuer ces risques, les organisations devraient adopter une approche à plusieurs niveaux qui comprend des contrôles politiques et techniques avec une diligence raisonnable approfondie. Le personnel des RH peut renforcer les processus de vérification en exigeant plusieurs formes d'identification et en rendant obligatoire la vidéoconférence en direct pour les entretiens. Ils peuvent également envisager de faire appel à des fournisseurs de services de vérification des antécédents pour valider les antécédents professionnels et les CV. 

Les équipes de sécurité peuvent déployer des clôtures géographiques pour limiter l'accès à partir de pays sanctionnés et mettre en œuvre des analyses du comportement des utilisateurs et des entités (UEBA) pour surveiller les réseaux afin de détecter les accès et les activités provenant de fuseaux horaires, d'adresses IP ou de lieux géographiques inattendus. Elles peuvent également mettre en œuvre les meilleures pratiques de sécurité standard telles que le moindre privilège, la segmentation du réseau et la gestion des autorisations basées sur les rôles, et déployer l'authentification multifactorielle dans tous les systèmes.

Plusieurs organismes américains chargés de l'application de la loi et de la cybersécurité ont émis des avis à l'intention des entreprises, les mettant en garde contre l'embauche de personnel informatique à distance et les contrats d'indépendants. Toutefois, étant donné le faible risque et la récompense potentiellement élevée que représente le déploiement de travailleurs fantômes, la Corée du Nord est susceptible de développer ce type d'activités dans les mois à venir. 

Les tactiques évolueront probablement pour contourner les procédures habituelles d'embauche et de contrôle. En outre, avec le soutien du gouvernement nord-coréen, les travailleurs fantômes utiliseront probablement de plus en plus l'intelligence artificielle générative (GenAI) et les « deepfakes » pour faciliter les candidatures et les entretiens d'embauche, ce qui rendra la détection de plus en plus difficile. Pour contrer cela, le Trésor américain pourrait étendre les sanctions existantes pour inclure d'autres sociétés écrans associées à la main-d'œuvre fantôme de la Corée du Nord. 

Dans le secteur privé, les organisations vont probablement mettre à jour leurs politiques d'embauche à distance et développer de nouveaux outils d'analyse du comportement et de vérification de la géolocalisation pour suivre le rythme de l'évolution des menaces. Toutefois, la formation restera la pierre angulaire des efforts de détection. Apprendre aux employés à reconnaître les comportements et les actions suspects de leurs collègues peut considérablement améliorer les efforts de détection précoce. Néanmoins, comme la Corée du Nord développe ses capacités cybernétiques, la menace restera dynamique, obligeant les organisations à s'adapter et à innover en permanence dans leurs défenses. 

Pour en savoir plus sur la façon de tirer parti de nos experts régionaux et spécialisés dans le domaine pour obtenir des renseignements qui aident votre organisation à garder une longueur d'avance sur les risques qui pèsent sur votre personnel et vos opérations, cliquez ici.