Introduction
Les hackers nord-coréens contournent de plus en plus les barrières de sécurité de haute technologie en utilisant l’intelligence artificielle pour manipuler les employés derrière le code. Zerion, un fournisseur de portefeuille crypto populaire, a confirmé mercredi qu’une campagne d’ingénierie sociale à long terme liée à la RPDC avait réussi à pénétrer ses systèmes la semaine dernière.
Incident de Zerion
Bien que les hackers aient emporté environ 100 000 dollars des portefeuilles chauds de l’entreprise, cette violation sert d’avertissement clair sur la sophistication croissante du vol d’identité « alimenté par l’IA » au sein de l’industrie des actifs numériques. L’entreprise a rapporté que les attaquants avaient réussi à détourner des sessions de connexion actives et des identifiants appartenant à des membres de l’équipe, accédant finalement aux clés privées.
Malgré l’intrusion, l’analyse interne de Zerion a confirmé que les fonds des utilisateurs et l’infrastructure principale étaient restés intacts, bien que l’application web ait été brièvement mise hors ligne par mesure préventive.
Contexte et menaces
Cet incident fait suite à une exploitation beaucoup plus importante de 280 millions de dollars du Drift Protocol plus tôt ce mois-ci, que les analystes de sécurité ont décrite comme une « opération d’intelligence structurée » plutôt qu’un simple bug technique. La Security Alliance (SEAL) a récemment souligné l’ampleur de cette menace après avoir suivi et bloqué 164 domaines liés au groupe nord-coréen UNC1069.
Leurs découvertes suggèrent que le groupe se spécialise dans des « campagnes d’ingénierie sociale à faible pression et de plusieurs semaines » menées sur des plateformes comme Slack, Telegram et LinkedIn. En se faisant passer pour des collègues de confiance ou des marques établies, ces acteurs érodent lentement les défenses des cibles avant de déployer des charges utiles malveillantes.
« La méthodologie d’ingénierie sociale d’UNC1069 se caractérise par la patience, la précision et l’armement délibéré des relations de confiance existantes, » a noté SEAL dans son enquête.
Utilisation de l’IA
Cette approche méthodique est désormais renforcée par des outils génératifs. L’unité Mandiant de Google a précédemment identifié l’utilisation de l’IA pour créer des images et des vidéos deepfake, permettant aux hackers de se faire passer pour des participants légitimes lors de réunions Zoom. L’objectif est de dépasser le phishing traditionnel et de créer un environnement numérique où une victime n’a aucune raison de douter de la personne de l’autre côté de l’écran.
Évolution des menaces
Taylor Monahan, développeur de MetaMask, a récemment souligné que ce n’est pas un nouveau phénomène, mais plutôt la perfection d’une stratégie de plusieurs décennies. Les travailleurs informatiques nord-coréens se sont discrètement intégrés dans des projets de finance décentralisée et des entreprises de crypto depuis au moins sept ans, opérant souvent en tant que contributeurs légitimes.
La société de sécurité blockchain Elliptic a expliqué dans une analyse récente que le profil de risque de l’industrie avait fondamentalement changé. « L’évolution des techniques d’ingénierie sociale de la RPDC, combinée à la disponibilité croissante de l’IA pour affiner et perfectionner ces méthodes, signifie que la menace s’étend bien au-delà des échanges, » a déclaré la société. Les développeurs individuels et tout membre du personnel ayant accès à l’infrastructure interne sont désormais considérés comme des points d’entrée principaux pour le vol sponsorisé par l’État, a ajouté le chercheur.
