Netcrook Logo
👤 LOGICFALCON
🗓️ 06 Apr 2026   🌍 Asia

À l’intérieur du piège virtuel : des hackers nord-coréens se font passer pour Microsoft Teams afin d’infiltrer les entreprises

Des cybercriminels liés à la Corée du Nord lancent des attaques sophistiquées de logiciels malveillants en attirant des professionnels dans de fausses réunions Microsoft Teams.

Tout commence par une simple invitation à une réunion - un e-mail ou un message provenant d’un collègue connu, d’un recruteur ou d’un partenaire commercial. La réunion est planifiée, le lien semble familier, et le branding est impeccable. Mais en coulisses, une ruse élaborée se met en place, orchestrée par les opérateurs cybernétiques de l’ombre de la Corée du Nord. Leur cible : votre confiance - et vos données.

En bref

  • Le groupe de menace nord-coréen UNC1069 utilise de faux domaines Microsoft Teams pour des attaques d’ingénierie sociale.
  • Les attaquants créent des invitations à des réunions très convaincantes, souvent en relançant d’anciennes conversations issues de comptes compromis.
  • Des domaines malveillants, comme onlivemeet[.]com, sont conçus pour imiter parfaitement l’interface de Microsoft Teams.
  • Les victimes sont incitées à télécharger des chevaux de Troie d’accès à distance déguisés en mises à jour logicielles.
  • La campagne repose sur l’exploitation de la confiance envers des plateformes de communication familières telles que Slack, Telegram et LinkedIn.

Déroulement de l’attaque

Des chercheurs en sécurité ont découvert une campagne croissante dans laquelle le groupe UNC1069, lié à la Corée du Nord, exploite de faux domaines Microsoft Teams pour lancer des attaques ciblées de logiciels malveillants. Le stratagème est aussi rusé que convaincant : les attaquants créent de fausses pages de réunion impossibles à distinguer des vraies, utilisant des URL comme onlivemeet[.]com pour attirer les victimes.

Pour maximiser leur crédibilité, UNC1069 ne se contente pas de spammer Internet. Ils relancent d’anciennes conversations issues de comptes LinkedIn et Telegram déjà compromis, ou envoient des offres de partenariat et d’emploi via de faux chats d’entreprise sur Slack. Dans certains cas, de fausses réunions sont même programmées via des services légitimes comme Calendly, ajoutant une couche supplémentaire d’authenticité.

Une fois que la victime clique sur le lien de réunion apparemment anodin, elle est dirigée vers un faux portail Microsoft Teams. Là, on lui indique qu’un composant technique (« TeamsFx SDK ») a été abandonné et on l’invite à télécharger une « mise à jour » - en réalité, un cheval de Troie d’accès à distance (RAT) conçu pour voler des données sensibles ou fournir un accès furtif à l’appareil de la victime.

Cette attaque met en lumière une tendance critique de la cybercriminalité : la sophistication technique s’accompagne désormais d’une ruse psychologique. Les attaquants investissent dans une ingénierie sociale détaillée, bâtissant la confiance et exploitant la fluidité naturelle des communications professionnelles. Un visage familier, une demande de routine, un domaine à l’apparence professionnelle - voici les nouveaux outils de l’escroc numérique.

Se protéger dans un monde de tromperies numériques

La meilleure défense contre ces attaques est la vigilance. Les experts en sécurité exhortent les organisations et les particuliers à toujours vérifier la véritable destination des liens de réunion avant de cliquer, et à traiter toute demande inattendue - même provenant de contacts connus - avec un sain scepticisme. Si une invitation à une réunion ou une mise à jour logicielle semble urgente ou déplacée, prenez le temps de vérifier.

À mesure que les cybercriminels évoluent, nos défenses doivent faire de même. Dans la bataille pour la confiance, la sensibilisation est la première - et souvent la dernière - ligne de défense.

WIKICROOK

  • Cheval de Troie d’accès à distance (RAT) : Un cheval de Troie d’accès à distance (RAT) est un logiciel malveillant qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
  • Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour inciter des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à des systèmes.
  • Charge utile : Une charge utile est la partie nuisible d’une cyberattaque, comme un virus ou un spyware, délivrée via des e-mails ou fichiers malveillants lorsque la victime interagit avec eux.
  • Usurpation de domaine : L’usurpation de domaine consiste pour les attaquants à créer de faux sites web ou e-mails qui ressemblent fortement à de vrais afin de tromper les utilisateurs et de voler des informations sensibles.
  • Compte compromis : Un compte compromis est un compte e-mail ou utilisateur pris en main par des attaquants, souvent utilisé pour voler des données, propager des logiciels malveillants ou usurper l’identité de l’utilisateur.
North Korean hackers Microsoft Teams cybercrime
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news