Des hackers liés à la Corée du Nord utilisent des appels vidéo deepfake pour cibler les travailleurs de la crypto

En résumé

• Les attaquants ont utilisé un faux appel vidéo et un « correctif audio » Zoom pour diffuser un malware macOS.
• La méthode correspond à une technique d’intrusion documentée précédemment, liée à BlueNoroff, une sous-groupe de Lazarus de Corée du Nord.
• L’incident intervient alors que les escroqueries par impersonation alimentées par l’IA ont poussé les pertes cryptographiques à un record de 17 milliards de dollars en 2025.

Les hackers liés à la Corée du Nord continuent d’utiliser des appels vidéo en direct, y compris des deepfakes générés par IA, pour tromper les développeurs et travailleurs en crypto afin de leur faire installer des logiciels malveillants sur leurs propres appareils. Dans la dernière instance divulguée par Martin Kuchař, co-fondateur de BTC Prague, les attaquants ont utilisé un compte Telegram compromis et un appel vidéo mis en scène pour pousser un malware déguisé en correctif audio Zoom, a-t-il déclaré. La « campagne de hacking de haut niveau » semble « cibler les utilisateurs de Bitcoin et de crypto », a révélé Kuchař jeudi sur X. 

Les attaquants contactent la victime et organisent un appel Zoom ou Teams, a expliqué Kuchař. Pendant l’appel, ils utilisent une vidéo générée par IA pour apparaître comme quelqu’un que la victime connaît. Ils prétendent ensuite qu’il y a un problème audio et demandent à la victime d’installer un plugin ou un fichier pour le corriger. Une fois installé, le malware donne aux attaquants un accès complet au système, leur permettant de voler du Bitcoin, de prendre le contrôle de comptes Telegram, et d’utiliser ces comptes pour cibler d’autres personnes. Cela intervient alors que les escroqueries par impersonation alimentées par l’IA ont poussé les pertes liées à la crypto à un record de 17 milliards de dollars en 2025, avec des attaquants utilisant de plus en plus de vidéos deepfake, de clonage vocal et de fausses identités pour tromper les victimes et accéder aux fonds, selon les données de la société d’analyse blockchain Chainalysis. Attaques similaires L’attaque, telle que décrite par Kuchař, correspond étroitement à une technique documentée pour la première fois par la société de cybersécurité Huntress, qui a rapporté en juillet dernier que ces attaquants attirent un travailleur crypto ciblé dans un appel Zoom mis en scène après un premier contact sur Telegram, souvent en utilisant un lien de réunion fake hébergé sur un domaine Zoom usurpé.

Pendant l’appel, les attaquants prétendent qu’il y a un problème audio et instruisent la victime d’installer ce qui semble être une correction Zoom, qui est en réalité un AppleScript malveillant initiant une infection multi-étapes de macOS, selon Huntress. Une fois exécuté, le script désactive l’historique du shell, vérifie ou installe Rosetta 2 (une couche de traduction) sur les appareils Apple Silicon, et demande à plusieurs reprises le mot de passe système de l’utilisateur pour obtenir des privilèges élevés. L’étude a révélé que la chaîne de malware installe plusieurs charges utiles, y compris des portes dérobées persistantes, des outils de keylogging et de clipboard, et des voleurs de portefeuilles crypto, une séquence similaire à celle que Kuchař a mentionnée lundi, lorsqu’il a divulgué que son compte Telegram avait été compromis et utilisé par la suite pour cibler d’autres de la même manière. Schémas sociaux Les chercheurs en sécurité de Huntress ont attribué avec une grande confiance l’intrusion à une menace persistante avancée liée à la Corée du Nord, suivie sous le nom de TA444, également connue sous le nom de BlueNoroff et par plusieurs autres alias opérant sous le nom de Lazarus Group, un groupe parrainé par l’État axé sur le vol de cryptomonnaies depuis au moins 2017. Interrogé sur les objectifs opérationnels de ces campagnes et s’il pense qu’il existe une corrélation, Shān Zhang, directeur de la sécurité de l’information chez la société de sécurité blockchain Slowmist, a déclaré à Decrypt que la dernière attaque contre Kuchař est « possiblement » liée à des campagnes plus larges du Lazarus Group. « Il y a un réemploi évident à travers les campagnes. Nous voyons systématiquement cibler des portefeuilles spécifiques et utiliser des scripts d’installation très similaires », a déclaré David Liberman, co-créateur du réseau décentralisé de calcul IA Gonka, à Decrypt. Les images et vidéos « ne peuvent plus être considérées comme une preuve fiable d’authenticité », a dit Liberman, ajoutant que le contenu numérique « devrait être signé cryptographiquement par son créateur, et de telles signatures devraient nécessiter une authentification multi-facteurs ». Les récits, dans des contextes comme celui-ci, sont devenus « un signal important à suivre et à détecter » étant donné que ces attaques « s’appuient sur des schémas sociaux familiers », a-t-il déclaré.

L’équipe Lazarus de Corée du Nord est liée à des campagnes contre des entreprises, des travailleurs et des développeurs en crypto, utilisant des malwares sur mesure et une ingénierie sociale sophistiquée pour voler des actifs numériques et des identifiants d’accès.