Des chercheurs en cybersécurité ont révélé une campagne d’ingénierie sociale de grande envergure exploitant de fausses entreprises technologiques dans les domaines du jeu vidéo et de l’intelligence artificielle. Ces entités fictives sont utilisées comme leurres pour attirer des développeurs, des chercheurs et des ingénieurs IT vers des outils malveillants déguisés, dans une stratégie soigneusement orchestrée de cyberespionnage et de compromission ciblée.
Des entreprises imaginaires aux apparences légitimes
La campagne identifiée repose sur la création de sites web entièrement factices, conçus pour ressembler à des entreprises innovantes dans le secteur du gaming ou de l’IA. Ces sites affichent :
Des pages « produits » ou « projets » avec des visuels de jeux ou d’outils inexistants
Des pages « Carrières » proposant des postes techniques prestigieux
Des mentions de collaboration avec de grandes marques ou communautés open source
Parfois même de faux profils de collaborateurs sur LinkedIn ou GitHub
L’objectif est de renforcer la crédibilité de ces « startups » et de gagner la confiance de professionnels IT en quête de nouveaux challenges ou curieux de tester de nouveaux outils technologiques.
Des offres d’emploi truquées comme vecteur initial
Les attaquants utilisent également des offres d’emploi ciblées envoyées par email ou via LinkedIn, en se faisant passer pour des recruteurs techniques. Ces messages contiennent des descriptions très techniques, parfois personnalisées, qui incitent le destinataire à télécharger un outil d’évaluation, un simulateur ou un exemple de projet.
Or, ces fichiers — souvent des installeurs Windows, des archives ZIP ou des exécutables déguisés — sont en réalité des chevaux de Troie contenant des charges utiles malveillantes.
Une fois installés, ces fichiers peuvent :
Exfiltrer des identifiants (mots de passe, cookies, tokens, SSH keys…)
Scanner le poste de travail à la recherche de documents, projets ou fichiers sensibles
Accéder aux environnements de développement (Git, IDEs, Docker, Kubernetes…)
Installer une backdoor pour accès persistant
Une exploitation des outils open source comme cheval de Troie
Autre levier de propagation : les repositories GitHub malveillants, se présentant comme des outils open source utiles (frameworks IA, librairies de graphismes, extensions de langages de programmation…).
Les attaquants y hébergent des packages contenant du code piégé, parfois même signés ou contenant un README crédible, afin de contourner les premières barrières de méfiance. Une fois clonés ou exécutés, ces outils ouvrent un canal de communication avec le serveur des attaquants et permettent l’intrusion discrète dans le système.
Un ciblage stratégique des profils techniques
Les profils ciblés sont hautement qualifiés : développeurs backend, chercheurs en IA, DevOps, ingénieurs systèmes ou spécialistes cloud. La campagne mise sur leur curiosité technologique et leur habitude à tester des outils, notamment ceux issus de communautés GitHub ou Hacker News.
Ce ciblage permet potentiellement aux attaquants d’accéder à :
Des environnements de développement critiques
Des projets confidentiels ou prototypes
Des dépôts de code source internes
Des systèmes de CI/CD ou de gestion d’infrastructure
Une stratégie d’espionnage numérique de type APT ?
Bien que l’article ne nomme pas de groupe spécifique, la méthodologie utilisée évoque les tactiques des groupes APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE (Advanced Persistent Threat) connus pour mener des opérations de longue durée dans un but d’espionnage, notamment étatique ou industriel.
Les signes qui corroborent cette hypothèse :
L’investissement dans la création de sites web et contenus crédibles
Le ciblage de professionnels à haute valeur
L’usage de backdoors discrètes et de reconnaissance réseau post-infection
L’absence d’impact visible immédiat (indiquant que l’objectif est l’observation à long terme, pas la rançon ou le sabotage)
Recommandations pour les professionnels IT
Face à cette menace, les experts recommandent plusieurs mesures de précaution :
Ne jamais installer de logiciel à partir de sources inconnues ou non vérifiées
Éviter les fichiers exécutables transmis via des offres d’emploi
Utiliser des environnements de test ou des machines virtuelles pour les évaluations
Consulter les reviews et contributeurs des projets GitHub inconnus
Mettre à jour régulièrement ses outils de détection de malwares, EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner et antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST
Superviser les connexions réseau suspectes et comportements inhabituels des programmes
En conclusion
Cette campagne met en lumière une évolution inquiétante des tactiques cybercriminelles : l’exploitation de la confiance dans les écosystèmes techniques (open source, recrutement, GitHub, DevTools) pour s’introduire de manière quasi indétectable dans les systèmes.
Alors que les attaquants deviennent plus habiles dans l’ingénierie sociale et le camouflage, les professionnels de l’IT doivent redoubler de vigilance, même face à des apparences parfaitement légitimes.