Appareils « RustBucket est un tout nouveau type de logiciel malveillant pour Apple macOS qui aurait été créé par un pirate nord-coréen avec des objectifs monétaires. Le logiciel malveillant communique avec des serveurs de commande et de contrôle et télécharge diverses charges utiles. Selon l’entreprise Jamf Threat Labs, spécialisée dans l’administration des appareils Apple, le virus a été attribué au gang BlueNoroff, un sous-ensemble du groupe Lazarus, plus vaste, qui porte plusieurs autres noms, notamment APT28 et Sapphire Sleet.

RustBucket et BlueNoroff sont liés en raison de similitudes stratégiques et opérationnelles avec une première attaque visant des institutions financières japonaises, révélée par Kaspersky à la fin de l’année 2022. En tant que membre d’un groupe de pirates informatiques connu sous le nom de CryptoCore, BlueNoroff est connu pour ses vols de logiciels malveillants complexes axés sur le réseau SWIFT et les échanges de monnaies numériques.

Lire aussi : « Nouveau logiciel malveillant EvilExtractor : Le voleur tout-en-un qui fait des vagues sur le Dark Web »

Les chercheurs de Jamf ont découvert que RustBucket est déguisé en« PDF interne« . Viewer ». Il s’agit néanmoins d’un programme AppleScript qui permet d’obtenir une charge utile supplémentaire à partir d’un serveur distant. Cette charge, également connue sous le nom de RustBucket, est un simple programme Objective-C qui ne démarre l’étape suivante de la chaîne d’assaut qu’une fois qu’un document PDF piégé est consulté à l’aide du programme. Le fichier PDF utilisé comme clé d’exécution du code malveillant est un document de neuf pages censé proposer une « stratégie d’investissement ».

Il doit être clair comment l’accès initial a été obtenu ou si les attaques ont réussi. Cependant, les résultats montrent comment les attaquants modifient leurs boîtes à outils pour prendre en charge les virus multiplateformes dans des langages tels que Go et Rust. La Lazarus Corporation est actuellement impliquée dans une escalade de la chaîne d’approvisionnement qui a infiltré 3CX et contaminé ses programmes Windows et macOS par le biais de pilotes trojanisés du programme légal X_TRADER.

Le Bureau général de reconnaissance (RGB), principale organisation de collecte de renseignements en Corée du Nord, abrite plusieurs organisations de piratage informatique financées par l’État et illégales, collectivement connues sous le nom de « Projet Lazarus ». Une autre catégorie tout aussi active est celle de Kimsuky, qui se concentre sur les entreprises et les personnes basées en Corée du Sud et aux États-Unis, spécialisées dans la défense et la sécurité, en particulier la sécurité nucléaire et les réglementations en matière de non-prolifération, qui servent les secteurs de l’État, de l’armée, de la production, de l’éducation et de l’élaboration des politiques.