Le groupe nord-coréen DeceptiveDevelopment, également connu sous le nom de Contagious Interview, ne se limite plus aux environnements Windows et macOS. D’après les dernières analyses publiées par ESET, ses campagnes ciblent désormais aussi les systèmes Linux, en s’attaquant aux développeurs de projets liés aux cryptomonnaies et au Web3.
Actif depuis au moins 2023, DeceptiveDevelopment combine ingénierie sociale et outils malveillants simples mais efficaces. Ses attaques reposent sur de fausses offres d’emploi publiées sur LinkedIn, Upwork ou Freelancer. Les victimes, souvent des développeurs indépendants, sont invitées à participer à de prétendus entretiens d’embauche ou à résoudre des tests techniques. Derrière ces apparences professionnelles, les attaquants diffusent du code trojanisé qui installe des logiciels espions tels que BeaverTail, OtterCookie ou encore InvisibleFerret.
ESET détaille une technique particulièrement ingénieuse, baptisée ClickFix. Sous prétexte de corriger un problème de caméra lors d’un entretien en ligne, la victime est invitée à copier une commande dans un terminal – déclenchant ainsi le téléchargement d’un maliciel. Cette méthode, déjà observée sur Windows, s’est adaptée aux environnements Linux et macOS, preuve d’une volonté d’élargir la portée de ces attaques.
Les chercheurs ont également établi des liens entre DeceptiveDevelopment et le groupe Lazarus, déjà responsable de nombreuses opérations de cyber-espionnage et de vols de cryptomonnaies. Certains outils, comme la porte dérobée Tropidoor, présentent des similarités avec le RAT PostNapTea, utilisé par Lazarus dans des campagnes antérieures.
Derrière ces attaques se cache une organisation bien structurée, composée d’informaticiens nord-coréens opérant sous de fausses identités. Ils utilisent des outils d’IA pour falsifier leurs CV, manipuler des photos de profil ou même changer de visage en visioconférence, afin de se faire embaucher à distance dans des entreprises occidentales. Ces “entretiens par procuration” représentent aujourd’hui un risque majeur pour les employeurs, qui peuvent, sans le savoir, donner accès à des systèmes sensibles à des acteurs sanctionnés.
Cette étude d’ESET, présentée lors de la conférence Virus Bulletin 2025, illustre la montée en puissance d’une menace hybride : à la fois cybercriminelle et économique, exploitant la confiance et la crédulité dans les processus de recrutement.
L’étude est disponible (en anglais) sur le blog d’ESET.
