Introduction
L’équipe de sécurité de Google, via Mandiant, a averti que des hackers nord-coréens intègrent des deepfakes générés par intelligence artificielle dans de fausses réunions vidéo, dans le cadre d’attaques de plus en plus sophistiquées contre des entreprises de crypto-monnaie, selon un rapport publié lundi. Mandiant a récemment enquêté sur une intrusion dans une entreprise fintech, qu’elle attribue à UNC1069, ou « CryptoCore », un acteur de menace fortement lié à la Corée du Nord.
Les Techniques Utilisées
L’attaque a utilisé un compte Telegram compromis, une réunion Zoom falsifiée et une technique appelée ClickFix pour tromper la victime en exécutant des commandes malveillantes. Les enquêteurs ont également trouvé des preuves que des vidéos générées par IA ont été utilisées pour duper la cible lors de la fausse réunion.
Mandiant a observé UNC1069 employant ces techniques pour cibler à la fois des entités corporatives et des individus au sein de l’industrie de la crypto-monnaie, y compris des entreprises de logiciels et leurs développeurs, ainsi que des sociétés de capital-risque et leurs employés ou dirigeants.
Contexte des Attaques
Cet avertissement survient alors que les vols de crypto-monnaie par la Corée du Nord continuent de croître en ampleur. À la mi-décembre, la société d’analyse blockchain Chainalysis a déclaré que des hackers nord-coréens avaient volé 2,02 milliards de dollars en crypto-monnaie en 2025, soit une augmentation de 51 % par rapport à l’année précédente. Le montant total volé par des acteurs liés à la RPDC s’élève désormais à environ 6,75 milliards de dollars, bien que le nombre d’attaques ait diminué.
Évolution des Stratégies Cybercriminelles
Ces résultats mettent en lumière un changement plus large dans la façon dont les cybercriminels liés à des États opèrent. Plutôt que de s’appuyer sur des campagnes de phishing de masse, CryptoCore et des groupes similaires se concentrent sur des attaques hautement ciblées qui exploitent la confiance dans les interactions numériques de routine, telles que les invitations de calendrier et les appels vidéo. De cette manière, la Corée du Nord réalise des vols plus importants à travers moins d’incidents, mais plus ciblés.
Le Déroulement de l’Attaque
Selon Mandiant, l’attaque a commencé lorsque la victime a été contactée sur Telegram par ce qui semblait être un cadre de crypto-monnaie connu dont le compte avait déjà été compromis. Après avoir établi un rapport, l’attaquant a envoyé un lien Calendly pour une réunion de 30 minutes, dirigeant la victime vers un faux appel Zoom hébergé sur l’infrastructure du groupe. Pendant l’appel, la victime a signalé avoir vu ce qui semblait être une vidéo deepfake d’un PDG de crypto bien connu.
Une fois la réunion commencée, les attaquants ont prétendu qu’il y avait des problèmes audio et ont demandé à la victime d’exécuter des commandes de « dépannage », une technique ClickFix qui a finalement déclenché l’infection par le malware. Une analyse judiciaire a ensuite identifié sept familles de malware distinctes sur le système de la victime, déployées dans une tentative apparente de récolter des identifiants, des données de navigateur et des jetons de session pour le vol financier et l’imitation future.
Réflexions sur la Sécurité
Fraser Edwards, co-fondateur et PDG de la société d’identité décentralisée cheqd, a déclaré que l’attaque reflète un schéma qu’il observe de manière répétée contre des personnes dont les emplois dépendent de réunions à distance et d’une coordination rapide.
L’efficacité de cette approche vient du fait que peu de choses doivent sembler inhabituelles.
Edwards a ajouté que la vidéo deepfake est généralement introduite à des points d’escalade, tels que des appels en direct, où voir un visage familier peut annuler les doutes créés par des demandes inattendues ou des problèmes techniques.
Voir ce qui semble être une vraie personne à la caméra est souvent suffisant pour dissiper le doute créé par une demande inattendue ou un problème technique.
Il a également souligné que l’IA est désormais utilisée pour soutenir l’imitation en dehors des appels en direct.
Elle est utilisée pour rédiger des messages, corriger le ton de la voix et imiter la façon dont quelqu’un communique normalement avec des collègues ou des amis.
Conclusion
Edwards a averti que le risque augmentera à mesure que des agents IA seront introduits dans la communication et la prise de décision quotidiennes.
Les agents peuvent envoyer des messages, planifier des appels et agir au nom des utilisateurs à la vitesse de la machine.
Il est irréaliste de s’attendre à ce que la plupart des utilisateurs sachent comment repérer un deepfake, a ajouté Edwards, soulignant que
la réponse n’est pas de demander aux utilisateurs de faire plus attention, mais de construire des systèmes qui les protègent par défaut.
