IA et recrutement piégé : la cyberarnaque qui progresse

Fin 2025, le scénario le plus rentable pour les cybercriminels n’est pas forcément un exploit “zéro day”. C’est un recrutement. Un message LinkedIn crédible, un mini test technique sur un dépôt privé, puis une commande “de dépannage” copiée-collée dans un terminal. Et en quelques minutes, un développeur perd ses identifiants, ses sessions navigateur… parfois même ses portefeuilles crypto.

Ce qui change vraiment, c’est la deception augmentée par l’IA : CV synthétiques, photos retouchées, face swap en entretien vidéo, réponses scriptées qui sonnent juste. Le dossier DeceptiveDevelopment (acteur aligné Corée du Nord) documente un modèle hybride : du malware relativement “accessible” sur le plan technique, mais emballé dans une mise en scène sociale très bien huilée. Pour notre série « Intelligence artificielle dans la cybersécurité », c’est un cas d’école : l’IA ne sert pas seulement à défendre, elle sert aussi à attaquer — et à industrialiser la tromperie.

DeceptiveDevelopment : la fraude “recruteur” devenue chaîne d’infection

Point clé : l’accès initial est presque exclusivement humain. DeceptiveDevelopment ne force pas une porte ; il obtient qu’on lui ouvre. Les opérateurs se font passer pour des recruteurs (ou détournent des comptes existants) sur des plateformes de travail et d’emploi. La cible privilégiée : les développeurs, en particulier ceux proches de la crypto/Web3, souvent habitués à cloner des dépôts et exécuter des projets “vite pour tester”.

Le schéma est simple, et c’est ce qui le rend dangereux :

1. Approche sociale (profil recruteur crédible, offre “très bien payée”).
2. Prétexte technique (coding challenge, correctif, setup d’environnement).
3. Déclenchement (un dépôt piégé ou une commande terminal à copier-coller).
4. Vol + persistance (infostealer, RAT, parfois mineur crypto).

Quand le “test technique” devient un cheval de Troie

Les dépôts Git privés livrés aux candidats contiennent du code piégé, parfois dissimulé de façon triviale mais efficace : commentaires très longs hors champ dans l’IDE, fichiers de configuration anodins, scripts d’installation “pratiques”. Le premier étage observé est souvent un infostealer/downloader (familles de type BeaverTail ou équivalents), qui sert surtout à amener un second étage plus complet.

Le résultat est concret :

• exfiltration d’identifiants navigateur, tokens de session, trousseaux (keychain),
• accès aux wallets crypto,
• installation d’outils de contrôle à distance,
• et, dans certains cas, ajout de composants de minage.

ClickFix : la manipulation “support technique” qui marche trop bien

Point clé : ClickFix transforme la curiosité en exécution de malware. La victime arrive sur un faux site d’entretien vidéo. On lui fait remplir un long formulaire (investissement psychologique). À la fin, un faux problème de caméra/micro s’affiche avec un lien “How to fix”. Ce lien déclenche une instruction : ouvrir un terminal et coller une commande.

Ce détail est redoutable parce qu’il détourne un réflexe moderne : “je dépanne vite en copiant la commande proposée”. L’attaque ne ressemble plus à un phishing classique ; elle ressemble à de la documentation.

L’IA comme carburant de la tromperie : du faux CV au face swap

Point clé : l’IA rend les arnaques d’identité moins chères et plus crédibles. Dans ce dossier, l’IA apparaît moins comme un module “cyber” que comme une machine à produire du plausible : portraits cohérents, CV réalistes, lettres de motivation, et même face swaps en temps réel en entretien.

Dans les campagnes de travailleurs IT nord-coréens (souvent décrites comme des opérations d’infiltration d’emplois à distance), l’objectif principal est financier : obtenir un salaire, parfois accéder à des données internes, et dans certains cas aller jusqu’à l’extorsion. Les pratiques rapportées incluent :

• identités synthétiques (CV + photo + historique cohérent),
• usurpation (identités volées lors de compromissions),
• proxy interviewing (une autre personne passe l’entretien à votre place),
• face swap en visio pour “coller” à l’identité présentée.

Ce que je trouve le plus inquiétant, c’est la convergence : la compromission via DeceptiveDevelopment alimente l’écosystème d’identités (sessions, comptes, documents), qui facilite ensuite l’infiltration par de faux candidats. On passe d’une attaque ponctuelle à une chaîne logistique.

Une boîte à outils multiplateforme, pensée pour l’échelle

Point clé : le danger ne vient pas d’un malware unique, mais de la combinaison. Les familles décrites montrent une logique “modulaire” : scripts obfusqués (JavaScript/Python), backdoors (Go/.NET), et parfois des implants Windows plus avancés partagés avec d’autres acteurs alignés Corée du Nord.

Infostealers + RAT : le duo rentable

Les charges utiles observées se répartissent généralement ainsi :

• Infostealer : collecte immédiate (navigateurs, wallets, identifiants). C’est le retour sur investissement rapide.
• RAT (Remote Access Trojan) : contrôle durable, exécution de commandes, pivot interne. C’est l’option “on revient plus tard”.

Certaines variantes sont conçues pour fonctionner sur Windows, macOS et Linux, ce qui colle parfaitement au profil de la cible (développeurs). Et certains modes de livraison sont “astucieux” : fournir le code source en Go et les binaires nécessaires pour compiler localement, pour réduire la détection et faciliter le multi-OS.

Quand l’outillage devient plus “APT”

À côté des étages “infostealer”, on voit apparaître des backdoors Windows plus sophistiquées et des chaînes d’exécution complexes (incluant persistance, exclusions de Microsoft Defender, proxy Tor, injection, etc.). Le signal à retenir pour un RSSI : la frontière entre cybercrime et espionnage se brouille.

Le même vecteur (faux recrutement) peut commencer par du vol crypto et finir par une compromission utilisable pour du renseignement, ou un accès interne à forte valeur.

Pourquoi les défenses classiques décrochent (et où l’IA défensive aide vraiment)

Point clé : ces attaques contournent les contrôles “périmétriques” parce qu’elles sont légitimes en apparence. Un dépôt Git privé, un outil de visio, un installateur “GPU”, un script de build… beaucoup d’entreprises autorisent déjà ces actions, surtout en environnement engineering.

L’IA en cybersécurité apporte de la valeur à deux niveaux :

1. Détection comportementale : repérer des séquences anormales (terminal lancé depuis un navigateur, téléchargement + exécution en chaîne, accès wallet, exfiltration). C’est souvent plus fiable que la seule signature.
2. Réduction du temps de réponse : prioriser les alertes, regrouper les signaux faibles, proposer une hypothèse d’incident exploitable par une équipe SOC.

Mais soyons clairs : l’IA défensive ne compensera pas un process de recrutement trop naïf. Elle complète.

Mesures concrètes (celles qui évitent l’incident, pas celles “qui font bien”)

Pour les équipes recrutement / RH / managers (oui, elles sont dans le périmètre sécurité) :

• Exiger un canal de contact vérifiable (domaine d’entreprise, référentiel interne) pour tout recruteur “partenaire”.
• Interdire les “tests techniques” imposant d’exécuter des scripts d’installation non audités.
• Standardiser une procédure : un dépôt inconnu = revue + sandbox.

Pour les équipes engineering :

• Exécuter les challenges dans une VM jetable ou un conteneur sans secrets (pas de sessions navigateur, pas de clés).
• Séparer les environnements : pas de wallets/seed phrases sur la machine de dev.
• Déployer des règles EDR focalisées sur : curl|bash, PowerShell encodé, création de persistance, accès aux stores navigateur.

Pour les RSSI / SOC :

• Surveiller les indicateurs “métier” : connexions à des plateformes de freelancing depuis postes sensibles, nouveaux outils remote admin, AnyDesk non autorisé.
• Mettre en place des playbooks : suspicion de faux entretien → isolement du poste, rotation sessions, révocation tokens, triage wallets.
• Utiliser l’IA pour corréler : activité navigateur + terminal + exfiltration sur une fenêtre de 5 à 15 minutes. C’est typiquement la signature opérationnelle de ces campagnes.

Phrase à garder en tête : si un process dépend du fait que personne ne collera une commande dans un terminal, ce n’est pas un contrôle de sécurité.

Mini-FAQ (celle que vos équipes vont poser)

“Pourquoi les développeurs sont-ils autant ciblés ?”

Parce qu’ils ont des accès, des tokens, des habitudes d’exécution de code, et parfois des actifs crypto. C’est une surface d’attaque rentable.

“Le risque est-il uniquement la crypto ?”

Non. Le vol crypto est fréquent, mais l’accès persistant peut mener à la compromission d’outils internes, de secrets CI/CD, ou à un scénario d’initié.

“Comment l’IA est utilisée côté attaquant ?”

Surtout pour produire du crédible à grande échelle : identités, discours, visuels, et contournement des signaux humains (visioconférence, échanges écrits, portfolios).

Ce que cette affaire dit de l’IA dans la cybersécurité (et la suite)

DeceptiveDevelopment montre une réalité simple : l’IA a industrialisé la tromperie, pas seulement le code malveillant. Les organisations qui ne traitent pas le recrutement, l’onboarding et les échanges “candidat/recruteur” comme des surfaces d’attaque vont se faire surprendre.

Pour rester dans la logique de notre série « Intelligence artificielle dans la cybersécurité », le message est double :

• L’IA défensive est indispensable pour détecter des chaînes d’attaque rapides et multi-signaux.
• La résilience vient aussi de la discipline : environnements jetables, contrôle des scripts, processus de recrutement durcis, et réponse incident prête.

Votre organisation saurait-elle repérer, en moins de 10 minutes, qu’un “entretien vidéo” est en fait un point d’entrée malware — et couper l’accès avant l’exfiltration ?