TechFlow rapporte, le 24 avril, qu’une étude de la société de cybersécurité Expel révèle le suivi d’un groupe APT évalué comme étant soutenu par l’État nord-coréen (RPDC), baptisé « HexagonalRodent ». Ce groupe cible principalement les développeurs Web3 afin de voler des actifs numériques à haute valeur, tels que des cryptomonnaies et des NFT. Au cours des trois premiers mois de 2026, il a obtenu l’accès à 26 584 portefeuilles cryptographiques depuis 2 726 appareils de développeurs infectés, pour une valeur totale d’actifs atteignant 12 millions de dollars américains.
Le groupe mène principalement ses attaques en falsifiant des offres d’emploi : il publie sur LinkedIn et sur des plateformes de recrutement Web3 des postes bien rémunérés afin d’inciter les candidats à réaliser un « test de compétences » intégrant du code malveillant. Ce dernier exploite la fonctionnalité tasks.json de VSCode pour exécuter automatiquement un programme malveillant dès que la victime ouvre le dossier du projet.
Les logiciels malveillants utilisés comprennent BeaverTail, OtterCookie et InvisibleFerret, dotés de capacités telles que le vol de mots de passe, la prise de contrôle à distance et l’établissement d’un shell inversé.
Il est à noter que ce groupe utilise massivement des outils d’intelligence artificielle générative, notamment ChatGPT et Cursor, pour développer des logiciels malveillants, créer des sites web d’entreprises fictives et générer artificiellement des équipes dirigeantes. Il a même enregistré une entreprise fantôme au Mexique afin d’accroître la crédibilité de ses opérations. Par ailleurs, ce groupe a récemment mené, pour la première fois, une attaque contre la chaîne d’approvisionnement, réussissant à infiltrer l’extension VSCode « fast-draft » afin d’y distribuer des logiciels malveillants.
