Les hackers nord-coréens accélèrent leurs campagnes sophistiquées avec des deepfakes IA contre l'industrie crypto

Les hackers liés au régime de la Corée du Nord déploient de nouvelles tactiques d’attaque plus sophistiquées contre les professionnels de la cryptomonnaie via des vidéos deepfake générés par intelligence artificielle. Selon des rapports récents, ces hackers parviennent à tromper leurs cibles en se faisant passer pour des personnes de confiance à travers des appels vidéo manipulés numériquement, forçant l’installation de malware sur leurs appareils. L’opération représente une escalade significative dans la guerre cybernétique contre la communauté des cryptomonnaies, combinant techniques d’ingénierie sociale et technologies de pointe.

La tromperie visuelle : comment fonctionnent ces campagnes sophistiquées

Martin Kuchař, l’un des principaux organisateurs de BTC Prague, a été victime de cette méthode d’attaque sophistiquée. Les cybercriminels ont établi un premier contact via des comptes Telegram compromis, utilisant des appels vidéo deepfake pour se faire passer pour des contacts connus. La ruse exploitée repose sur un prétexte courant : convaincre la victime qu’elle doit installer un « complément audio » pour résoudre des problèmes techniques sur des plateformes comme Zoom. Une fois installé, le logiciel soi-disant inoffensif ouvre la porte à un contrôle total de l’appareil compromis.

Cette méthodologie d’usurpation d’identité via des falsifications vidéo a évolué grâce aux avancées en clonage de voix et en images synthétiques. Les attaquants étudient soigneusement leurs cibles sur les réseaux sociaux et plateformes professionnelles avant d’exécuter l’attaque, en sélectionnant des victimes de grande valeur dans l’industrie crypto.

Capacités destructrices du code malveillant déployé

La société de recherche en sécurité Huntress a analysé en profondeur les scripts malveillants utilisés dans ces opérations. Les codes exécutent des infections multi-étapes spécifiquement conçues pour les systèmes macOS, déployant plusieurs fonctionnalités dangereuses de manière progressive.

Une fois à l’intérieur de l’appareil, le malware établit des portes dérobées pour maintenir un accès persistant même après que l’utilisateur découvre l’infection. Le code enregistre également chaque frappe clavier, capturant mots de passe, phrases de récupération et données sensibles. De plus, le malware accède au contenu du presse-papiers de l’appareil, extrayant adresses de portefeuille et clés privées récemment copiées. L’objectif final est de compromettre les actifs de portefeuille cryptés stockés sur la machine.

Lazarus Group : l’organisation derrière la campagne

Les chercheurs en sécurité ont attribué en toute confiance ces opérations au Lazarus Group, également connu sous le nom de BlueNoroff, une organisation de hackers directement soutenue par l’État nord-coréen. Ce groupe a été responsable de certains des cyberattaques les plus notables contre l’industrie des cryptomonnaies ces dernières années, incluant des vols massifs sur des exchanges et des compromissions de protocoles DeFi.

L’équipe de sécurité de SlowMist, une entreprise spécialisée dans la défense blockchain, a confirmé que ces campagnes présentent des schémas cohérents avec des opérations antérieures du Lazarus Group. Les hackers démontrent une connaissance approfondie de l’infrastructure crypto, ciblant spécifiquement des professionnels techniques, des développeurs et des opérateurs de portefeuille ayant accès à des actifs importants. La coordination et les ressources derrière ces opérations confirment le soutien étatique.

La menace croissante du deepfake dans la vérification d’identité

Les analyses de sécurité révèlent une tendance inquiétante : les technologies de deepfake et de clonage vocal ont atteint un niveau de sophistication où les images et vidéos ne peuvent plus être considérées comme des preuves fiables d’authenticité. Autrefois, un appel vidéo était considéré comme une méthode relativement sûre pour vérifier l’identité d’un contact. Aujourd’hui, ces hackers démontrent qu’une falsification numérique peut être pratiquement indiscernable de l’original.

Ce changement fondamental dans le paysage des menaces oblige l’industrie de la cryptomonnaie à repenser complètement ses protocoles de sécurité. La confiance visuelle ne suffit plus. Les professionnels crypto doivent mettre en place des vérifications d’identité multicouches qui ne dépendent pas uniquement de la confirmation visuelle ou auditive.

Mesures défensives critiques pour les professionnels crypto

Face à la sophistication de ces hackers, la communauté doit adopter des pratiques de sécurité plus robustes. L’authentification multifactorielle est essentielle : toute transaction d’actifs doit nécessiter plusieurs vérifications indépendantes, idéalement via des canaux totalement séparés.

Il est recommandé d’utiliser des clés de sécurité matérielles (comme YubiKeys) pour accéder aux portefeuilles et services critiques, éliminant la vulnérabilité des mots de passe capturés par keyloggers. Les utilisateurs doivent se méfier de toute demande inattendue d’installation de logiciel, même si elle provient de contacts apparemment fiables. Vérifier ces demandes par des canaux de communication alternatifs est indispensable.

De plus, les professionnels crypto doivent envisager d’utiliser des appareils dédiés pour les opérations sensibles de portefeuille, en maintenant ces machines isolées des applications de vidéoconférence ou des réseaux sociaux. L’industrie doit rester vigilante face à l’évolution des tactiques de ces hackers, en partageant des informations sur les indicateurs de compromission et en maintenant les systèmes à jour avec les derniers correctifs de sécurité.