Les attaques des hackers nord-coréens sur le secteur des cryptomonnaies
Les hackers associés à la Corée du Nord continuent d’exploiter des appels vidéo en direct, y compris des deepfakes générés par intelligence artificielle, pour tromper les développeurs et les professionnels du secteur des cryptomonnaies afin qu’ils installent des logiciels malveillants sur leurs appareils.
Dans un cas récemment révélé par Martin Kuchař, co-fondateur de BTC Prague, les attaquants ont utilisé un compte Telegram compromis et un appel vidéo mis en scène pour inciter à l’installation d’un logiciel malveillant déguisé en correctif audio pour Zoom.
Cette « campagne de hacking de haut niveau » semble cibler les utilisateurs de Bitcoin et de cryptomonnaies, a déclaré Kuchař jeudi sur X. Les attaquants contactent leurs victimes et organisent un appel via Zoom ou Teams. Pendant l’appel, ils utilisent une vidéo générée par IA pour se faire passer pour une personne que la victime connaît. Ils prétendent ensuite qu’il y a un problème audio et demandent à la victime d’installer un plugin ou un fichier pour le résoudre.
Une fois installé, le logiciel malveillant accorde aux attaquants un accès complet au système, leur permettant de voler des Bitcoins, de prendre le contrôle des comptes Telegram et d’utiliser ces comptes pour cibler d’autres personnes. Cela survient alors que les escroqueries d’imitation alimentées par l’IA ont entraîné des pertes liées aux cryptomonnaies atteignant un niveau record de 17 milliards de dollars en 2025.
Techniques d’attaque et implications
Les attaquants utilisent de plus en plus des vidéos deepfake, le clonage vocal et de fausses identités pour tromper les victimes et accéder à leurs fonds, selon des données de la société d’analyse blockchain Chainalysis. L’attaque, telle que décrite par Kuchař, correspond étroitement à une technique d’abord documentée par la société de cybersécurité Huntress, qui a rapporté en juillet de l’année dernière que ces attaquants attirent un travailleur du secteur des cryptomonnaies ciblé dans un appel Zoom mis en scène après un contact initial sur Telegram.
Pendant l’appel, les attaquants prétendraient qu’il y a un problème audio et demanderaient à la victime d’installer ce qui semble être un correctif lié à Zoom, qui est en réalité un AppleScript malveillant initiant une infection multi-étapes sur macOS, selon Huntress. Une fois exécuté, le script désactive l’historique des shells, vérifie ou installe Rosetta 2 (une couche de traduction) sur les appareils Apple Silicon, et demande à plusieurs reprises à l’utilisateur son mot de passe système pour obtenir des privilèges élevés.
L’étude a révélé que la chaîne de logiciels malveillants installe plusieurs charges utiles, y compris des portes dérobées persistantes, des outils de keylogging et de clipboard, ainsi que des voleurs de portefeuilles de cryptomonnaies. Cette séquence est similaire à celle à laquelle Kuchař a fait allusion lorsqu’il a révélé lundi que son compte Telegram avait été compromis et utilisé plus tard pour cibler d’autres personnes de la même manière.
Attribution et prévention
Les chercheurs en sécurité de Huntress ont attribué l’intrusion avec une grande confiance à une menace persistante avancée liée à la Corée du Nord, connue sous le nom de TA444, également appelée BlueNoroff et opérant sous plusieurs autres alias au sein du groupe générique Lazarus, un groupe soutenu par l’État axé sur le vol de cryptomonnaies depuis au moins 2017.
Lorsqu’on lui a demandé quels étaient les objectifs opérationnels de ces campagnes et s’il pensait qu’il y avait une corrélation, Shān Zhang, directeur de la sécurité de l’information chez la société de sécurité blockchain Slowmist, a déclaré à Decrypt que la dernière attaque contre Kuchař est « possiblement » liée à des campagnes plus larges du groupe Lazarus.
David Liberman, co-créateur du réseau de calcul décentralisé AI Gonka, a ajouté : « Il y a une réutilisation claire à travers les campagnes. Nous voyons constamment le ciblage de portefeuilles spécifiques et l’utilisation de scripts d’installation très similaires ». Les images et les vidéos « ne peuvent plus être considérées comme des preuves fiables d’authenticité », a-t-il déclaré, ajoutant que le contenu numérique « devrait être signé cryptographiquement par son créateur, et de telles signatures devraient nécessiter une autorisation multi-facteurs. »
Les récits, dans des contextes comme celui-ci, sont devenus « un signal important à suivre et à détecter » étant donné comment ces attaques « s’appuient sur des schémas sociaux familiers ».
