Dans un retournement de situation digne d'un roman d'espionnage, un opérateur de cyber-espionnage étatique s'est fait pirater l'intégralité de son arsenal numérique. L'affaire, révélée lors de la conférence DEF CON 33 par le biais du légendaire magazine underground Phrack, met en lumière une fuite de données massive de 8,9 Go. Deux hackers, agissant sous les pseudonymes de Saber et cyb0rg, sont à l'origine de cette publication qui secoue le monde de la cybersécurité et soulève une question centrale : l'espion démasqué est-il nord-coréen ou chinois ?
Une fuite aux motivations éthiques
Saber et cyb0rg justifient leur acte par un profond désaccord avec les méthodes de leur cible, qu'ils ont baptisée "KIM". Dans un manifeste publié pour l'occasion, ils dénoncent un adversaire qu'ils jugent moralement corrompu. « Vous êtes motivés par la cupidité, pour enrichir vos dirigeants et servir leur agenda politique. […] Vous vous placez au-dessus des autres : vous êtes moralement pervertis », écrivent-ils. Loin d'une simple attaque, leur démarche vise à exposer au grand jour les agissements d'un groupe qu'ils considèrent comme une honte pour la communauté du hacking. L'ironie de l'histoire est que l'intrusion a été rendue possible par des erreurs de débutant : une mauvaise configuration des services cloud et la réutilisation de mots de passe.
Un butin numérique exceptionnel
La fuite, hébergée par le collectif Distributed Denial of Secrets (DDoSecrets), est une mine d'or pour les analystes en cybersécurité. Elle offre un aperçu rare et non filtré de la "cuisine interne" d'un acteur étatique. Le butin contient des éléments extrêmement sensibles :
- Des preuves d'opérations de phishing visant des cibles de haut niveau, comme le contre-espionnage sud-coréen et des géants du web locaux (Daum, Kakao).
- Le code source complet de « Kebi », la plateforme de messagerie des diplomates sud-coréens.
- L'arsenal "maison" du groupe, avec un générateur de faux sites et des logiciels malveillants conçus pour rester indétectables.
- Des outils incontournables du cybercrime, dont des versions modifiées de Cobalt Strike et la porte dérobée RootRot.
- Près de 20 000 entrées d'historique de navigation (Chrome et Brave) qui documentent les habitudes de travail de l'opérateur.
Cette masse d'informations révèle les techniques, les cibles et même les tâtonnements de l'espion, qui utilisait Google Translate pour comprendre des messages d'erreur.
Le grand puzzle de l'attribution : Chine ou Corée du Nord ?
Si les auteurs de la fuite penchent pour la piste du groupe nord-coréen Kimsuky, plusieurs experts de renom émettent de sérieux doutes. Certes, le kit de phishing utilisé est identique à celui de Kimsuky et un nom de domaine suspect est très proche d'une de leurs anciennes infrastructures. Plusieurs détails sèment pourtant le trouble et orientent l'enquête vers un acteur chinois.
Selon des chercheurs de Trend Micro et TeamT5, le portrait-robot ne colle pas. L'opérateur semble parler mandarin et non coréen, comme en témoignent ses recherches en caractères simplifiés. Son historique de navigation montre des visites sur des forums de hacking chinois, et certaines de ses cibles, notamment à Taïwan, correspondent davantage aux intérêts stratégiques de Pékin qu'à ceux de Pyongyang. Fyodor Yarochkin, chercheur chez Trend Micro, avance une hypothèse très intéressante : « L’acteur est probablement chinois […] mais il est conscient de l’existence de Kimsuky et essaie peut-être d’imiter leur comportement pour semer la confusion chez les enquêteurs ». Une opération sous fausse bannière typique du monde du renseignement.
Des conséquences directes pour le cyber-espionnage
Qu'il soit chinois ou nord-coréen, cette humiliation publique constitue un revers majeur pour le groupe piraté. À court terme, ses campagnes seront perturbées, l'obligeant à revoir toute son infrastructure. Sur le long terme, cette affaire est une aubaine pour la communauté de la cybersécurité. Comme l'a déclaré Charles Li de TeamT5, cette fuite va permettre d'améliorer considérablement la détection des attaques menées par ce type d'acteurs. L'accès direct à leurs tactiques, techniques et procédures (TTPs) permet de créer des signatures de détection plus précises et de former les analystes avec des exemples concrets. Le message envoyé est clair : même les groupes de hackers soutenus par des États ne sont pas intouchables.
L’affaire du piratage « Kimsuky » sera dévoilée officiellement dans le numéro 72 de Phrack, à paraître dans les prochains jours en version numérique.
