Campagne de fraude et de cyberespionnage de Famous Chollima
Incident survenu en décembre 2025
Depuis 2018, des membres du groupe de menace persistante avancé nord-coréen Famous Chollima (aussi connu sous le nom WageMole ou Contagious Interview) se font employer par de grandes entreprises comme celles du Fortune 500 afin de récolter le salaire octroyé par ceux-ci, le reversant par la suite à Pyongyang. Plusieurs pays auraient été touchés par ces attaques, notamment le Canada, les États-Unis, le Brésil, l’Angleterre, l’Allemagne, l’Inde et le Japon. Les membres du groupe se font passer pour des travailleurs américains grâce à un système de « ferme à ordinateur portable » (laptop farm), permettant à ces derniers de contrôler à distance un appareil virtuel et d’ainsi se donner une fausse géolocalisation américaine. Anciennement restreinte à certains individus nord-coréens formés à cet effet, cette technique s’est démocratisée en 2025 grâce au développement des grands modèles de langage tels que ChatGPT ou encore Claude, permettant une multiplication massive de ces faux employés au courant de l’année. L'objectif de la campagne est double : d’une part, elle permet de financer la République populaire démocratique de Corée; de l'autre, elle permet de procéder à des vols de données dans des domaines critiques au sein desquels les membres de l'opération sont employés.
Type d'incident : Cyberespionnage, Fraude financière
Type de cible : Secteur privé
Origine présumée : Corée du Nord
Auteur présumé : Famous Chollima (aussi connu sous les noms Contagious Interview et WageMole)
Sources
- Sophos: https://www.sophos.com/zh-cn/blog/nickel-tapestry-expands-fraudulent-worker-operations
- Brandefense: https://brandefense.io/blog/wagemole-apt-2025/
- Anthropic: https://www-cdn.anthropic.com/b2a76c6f6992465c09a6f2fce282f6c0cea8c200.pdf
- Security Week: https://www.securityweek.com/wp-content/uploads/2025/02/CrowdStrikeGlobalThreatReport2025.pdf
