Un acteur de menace nord-coréen connu sous le nom de UNC4899 est soupçonné d’avoir mené une campagne d’intrusion dans le cloud qui visait une organisation de cryptomonnaies en 2025, dans le but de voler des millions de dollars. Cette activité, attribuée avec une confiance modérée à un adversaire soutenu par l’État, est également suivie sous les cryptonymes Jade Sleet, PUKCHONG, Slow Pisces et TraderTraitor.
Ocean’s 14
Selon le rapport Cloud Threat Horizons de Google, cet incident se distingue par sa combinaison complexe d’ingénierie sociale et d’exploitation de mécanismes de transfert de données entre dispositifs personnels et professionnels. Les attaquants ont trompé un développeur pour qu’il télécharge un fichier malveillant dans le cadre d’une prétendue collaboration en open source, ce qui a ensuite permis un accès non autorisé à sa machine professionnelle et, par la suite, à l’infrastructure cloud.
Une fois dans l’environnement cloud, les attaquants ont abusé des flux de travail légitimes de DevOps pour voler des identifiants et manipuler des bases de données Cloud SQL, facilitant ainsi le vol de cryptomonnaies. Grâce à des modifications des configurations Kubernetes et à l’exécution de commandes malveillantes, les attaquants ont réussi à établir une présence persistante dans l’environnement, utilisant des techniques connues sous le nom de “living-off-the-cloud” (LoTC).
Cet incident met en lumière les risques critiques associés aux méthodes de transfert de données entre dispositifs personnels et professionnels, ainsi que la manipulation non sécurisée de secrets dans un environnement cloud. En réponse, il est recommandé aux organisations de mettre en œuvre une stratégie de défense en profondeur qui inclut une validation rigoureuse de l’identité, des restrictions sur le transfert de données et l’isolement au sein des environnements d’exécution dans le cloud pour atténuer les dommages en cas d’intrusion.
Les experts mettent en garde sur l’importance d’adopter des politiques qui découragent l’utilisation de dispositifs externes et de connexions non sécurisées, comme le partage de fichiers via AirDrop ou Bluetooth, afin de protéger l’infrastructure critique des organisations face à des menaces de plus en plus sophistiquées.