TERMINAL SÉCURISÉ // VISIONNEUR DE DOCUMENTS CLASSIFIÉS v3.1.7
[SYS] Vérification du code d'habilitation : F9D7 ... [VALIDE]
[SYS] Déchiffrement de l'archive de documents ... [OK]
[SYS] Niveau d'habilitation 7 — ACCÈS RESTREINT
[SYS] Session enregistrée. Surveillance active. Ne pas copier ni distribuer.
[SYS] Affichage du document ...
CLASSIFIÉ — LEVEL 7 HABILITATION REQUISE
ID DOCUMENT: FZ-F9D7-2026
DATE: 2026-05-13
DÉPARTEMENT: La division de la réponse aux incidents de cyber-sécurité est présente.
STATUT: ACTIF -- NE PAS DISTRIBUER
RAPORT INCIDENT F9D7 -- INFILTRATION de la station de travail anomalie
Le 15 juillet 2024, à 01:55 UTC (9:55 PM heure de l'Est), les systèmes de surveillance KnowBe4 à Clearwater, en Floride, ont enregistré une alerte de sécurité critique.L'alerte a marqué une activité anomalie sur un poste de travail nouvellement fourni attribué à un ingénieur logiciel principal récemment engagé.L'individu avait réussi à éliminer quatre entretiens vidéo, des vérifications de référence et une enquête de fond avant cet incident, qui s'est produit environ 25 minutes après leur quart inaugural.
D'autres renseignements suggèrent que la portée de l'opération s'est étendue à plusieurs autres organisations. ████████████████████████████████████████████████████████████████████████████████
L'activité observée impliquait l'installation de logiciels malveillants, livrés via un Raspberry Pi connecté au même réseau que la station de travail.Les enquêtes ont révélé que le profil de l'ingénieur utilisait une image stock modifiée par l'intelligence artificielle et une identité fabriquée à partir d'un véritable citoyen américain.Les évaluations de renseignement indiquent que l'opérateur est situé physiquement en République populaire démocratique de Corée ou au nord-est de la Chine, opérant sous le contrôle du département 53 de la RPDC.
La portée complète du réseau mondial du département 53 reste sous enquête active. ████████████████████████████████████████████████████████████████████████████████
Le centre d'opérations de sécurité de KnowBe4 a initié un contact avec l'utilisateur concernant l'activité anomalie, recevant une réponse attribuant cela à la résolution des problèmes du routeur. Une demande ultérieure d'appel en direct a été refusée, suivie d'une non-réponse totale. À 02:20 UTC (10:20 PM heure de l'Est), la station de travail a été contenue avec succès, empêchant un accès supplémentaire. Le malware a été identifié comme un infostealer ciblant les données d'identification restantes de la mise en service du système précédent.
RECOMMENDATION: Étant donné la capacité de l'opérateur à contourner les contrôles préalables à l'emploi et l'intention confirmée d'exfiltrer des données sensibles, l'amélioration continue des processus de vérification de l'identité centrés sur les ressources humaines est primordiale.La menace persistante posée par les acteurs sponsorisés par l'État utilisant des techniques sophistiquées de fabrication d'identité et d'accès à distance nécessite un changement vers une assurance d'identité dynamique et multifactorielle tout au long du cycle de vie de l'emploi, allant au-delà de l'intégration initiale.
// SOUMISSION DE RAPPORT DE TÉMOIN
Si vous détenez des informations relatives à ce document, soumettez votre témoignage ci-dessous. Toutes les soumissions sont surveillées.
DÉSIGNATION DE L'AGENT
RAPPORT D'INCIDENT / THÉORIE
FRAGMENT ZERO ARCHIVE // DOCUMENT F9D7 // ACCÈS NON AUTORISÉ EST UNE INFRACTION DE NIVEAU 1
CETTE SESSION DE TERMINAL A ÉTÉ JOURNALISÉE // ID MONITEUR: FZ-4078