PhiShark Logo
Retour au blog
Études de cas Phishing12 juin 20265 min de lectureOzan İsmail Çolhak

Pourquoi des châteaux à plusieurs millions de dollars s'effondrent avec un seul lien ? (Partie 2)

Comment le groupe Lazarus a utilisé un seul PDF pour cibler les banques mondiales — et pourquoi les outils de sécurité traditionnels n'ont pas pu l'arrêter.

HameçonnageÉtude de casGroupe LazarusHameçonnage par PDFPhiSharkSécurité IA

Il y a quelques jours, nous avons parlé de la façon dont Google et Facebook ont été escroqués de 120 millions de dollars grâce à des liens de fausses factures qui ont contourné les filtres de messagerie d'entreprise, et de la manière dont l'IA agentique de PhiShark aurait pu l'empêcher.

Mais sur la ligne de front cybernétique, les attaquants ne lancent pas toujours une attaque directe en envoyant un lien évident. Parfois, ils cachent ce lien empoisonné à l'intérieur d'un fichier que nous ouvrons tous des dizaines de fois chaque jour dans la vie en entreprise, un fichier qui semble totalement inoffensif et digne de confiance : un PDF.

Cette fois, nous examinons l'un des groupes de menace les plus dangereux au monde et comment des institutions financières mondiales ont été ciblées à travers des documents de phishing soigneusement préparés.

attachments.pdf : Le playbook de Lazarus contre les banques mondiales

L'un des groupes de cybermenace les plus notoires de l'histoire moderne est Lazarus, un groupe lié à la Corée du Nord connu pour certaines des opérations cybernétiques les plus destructrices et financièrement motivées jamais observées. Le même écosystème d'attaquants a été associé à des incidents majeurs allant de l'attaque de Sony Pictures à des vols bancaires à grande échelle ciblant les systèmes financiers internationaux.

Lorsque Lazarus et les acteurs de menace nord-coréens associés ont ciblé des banques mondiales, ils n'ont pas commencé par percer directement un réseau financier renforcé. Une fois de plus, ils ont commencé par le maillon le plus faible : l'humain.

Les employés bancaires et le personnel du secteur financier ont été ciblés avec des messages de spear-phishing très convaincants. Ces campagnes utilisaient des documents d'apparence professionnelle déguisés en offres d'emploi, grilles salariales, documents de recrutement ou communications financières internes. À première vue, ces fichiers semblaient ordinaires. Ils ne ressemblaient pas à une arme cybernétique. Ils ressemblaient à quelque chose qu'un employé occupé pourrait facilement ouvrir lors d'une journée de travail normale.

C'est exactement ce qui les rendait dangereux.

D'un point de vue cybersécurité, que s'est-il passé ici ? Pourquoi cela n'a-t-il pas été arrêté ?

Les pare-feu, les filtres de messagerie d'entreprise et les outils de sécurité traditionnels ont analysé le message entrant et le fichier joint. Dans la plupart des cas, ces systèmes recherchaient des modèles de phishing connus, des comportements de fichiers suspects, des scripts dangereux ou des infrastructures d'attaque précédemment identifiées.

Mais le vrai danger n'était pas visible à la première couche.

Le PDF ressemblait à un document normal. Il contenait du texte, une marque, une courte instruction et un lien qui semblait faire partie d'un processus de vérification légitime. L'employé voyait un message similaire à :

"Ce document est protégé. Pour consulter le contenu complet, veuillez vous authentifier avec votre compte d'entreprise."

À ce moment-là, le fichier lui-même n'était plus l'arme finale. Il est devenu le mécanisme de livraison.

La véritable attaque a commencé lorsque l'employé a cliqué sur le lien intégré.

Ce lien redirigeait la victime vers une fausse page de connexion conçue pour imiter un système d'entreprise ou bancaire de confiance. Une fois que l'employé saisissait ses identifiants, les attaquants utilisaient cet accès pour pénétrer plus profondément dans le réseau, rechercher des systèmes financiers sensibles et finalement atteindre l'infrastructure utilisée pour les transferts d'argent internationaux.

C'est ainsi qu'un document d'apparence inoffensive est devenu le début d'un désastre financier.

Le résultat de ces opérations bancaires a été énorme. Les acteurs liés à la Corée du Nord ont été accusés d'avoir tenté de voler plus de 1,2 milliard de dollars à des banques du monde entier en compromettant les réseaux bancaires et en envoyant des messages SWIFT frauduleux. Rien que dans le braquage de la Banque du Bangladesh, les attaquants ont tenté de transférer près de 1 milliard de dollars et ont réussi à voler 81 millions de dollars avant que l'ensemble de l'opération ne soit stoppé.

De l'extérieur, ces banques ressemblaient à des forteresses.

Elles disposaient de contrôles d'accès stricts, de procédures internes, de systèmes de surveillance financière et d'une infrastructure bancaire mondiale autour d'elles.

Mais la première fissure n'est pas apparue à l'intérieur du réseau SWIFT.

Elle a commencé avec un seul employé ouvrant un fichier qui ressemblait à attachments.pdf.

Qu'est-ce qui aurait changé si PhiShark avait été là ?

Les produits traditionnels sont statiques. Ils inspectent un fichier lorsqu'il entre par le serveur de messagerie, l'analysent une fois, le qualifient de « propre » et le laissent là. Ce qui se passe après l'ouverture du fichier échappe souvent à leur champ de vision.

C'est exactement là que la logique de protection de PhiShark éclaire l'angle mort.

Dès qu'un utilisateur télécharge ce PDF suspect directement depuis la section « Analyser un fichier » de notre extension de navigateur, PhiShark ne se contenterait pas d'analyser le fichier en surface. Il extrairait l'URL cachée à l'intérieur du document, la ferait passer par nos modules d'analyse par IA agentique et détecterait en quelques secondes que la destination finale était un piège de phishing.

Même si le PDF lui-même semblait propre, PhiShark comprendrait la véritable intention derrière celui-ci.

Parce que dans le phishing moderne, la partie malveillante n'est pas toujours le fichier lui-même.

Parfois, le fichier n'est que la porte.

Ainsi, le piège de phishing soigneusement préparé par les attaquants serait neutralisé dès le tout début, avant que l'employé ne saisisse ses identifiants, avant que les attaquants n'atteignent les systèmes internes et avant qu'une seule instruction de transfert frauduleuse ne soit envoyée.

Un désastre bancaire de plusieurs millions de dollars pourrait être arrêté à l'intérieur d'un seul PDF.

La ligne de front cybernétique est désormais multidimensionnelle. Elle passe des liens traditionnels aux PDF, et maintenant du monde physique au monde numérique. Dans la prochaine et dernière partie de notre série, nous parlerons des attaques de « QR Phishing » ou « Quishing » qui laissent les outils de sécurité traditionnels complètement aveugles, et de l'architecture écosystémique de PhiShark.

Restez en sécurité. Lisez l'article original sur notre blog et essayez PhiShark ou installez l'extension de protection contre le phishing de navigateur PhiShark.

Oh, et la dernière partie arrive bientôt — les codes QR vont devenir intéressants. Restez à l'écoute. :D

Cordialement, Ozan.