Google avertit d'une campagne de malware nord-coréenne alimentée par l'IA ciblant la cryptomonnaie et la DeFi

En résumé

• Des acteurs nord-coréens ciblent l’industrie de la cryptomonnaie avec des attaques de phishing utilisant des deepfakes générés par IA et de fausses réunions Zoom, a averti Google.
• Plus de 2 milliards de dollars en cryptomonnaies ont été volés par des hackers DPRK en 2025.
• Les experts mettent en garde contre le fait que les identités numériques de confiance deviennent le maillon faible.

L’équipe de sécurité de Google chez Mandiant a averti que des hackers nord-coréens intègrent des deepfakes générés par intelligence artificielle dans de fausses réunions vidéo dans le cadre d’attaques de plus en plus sophistiquées contre des entreprises de cryptomonnaie, selon un rapport publié lundi. Mandiant a indiqué avoir récemment enquêté sur une intrusion dans une société fintech qu’elle attribue à UNC1069, ou « CryptoCore », un acteur de menace lié avec une haute confiance à la Corée du Nord. L’attaque a utilisé un compte Telegram compromis, une réunion Zoom usurpée, et une technique dite ClickFix pour tromper la victime et lui faire exécuter des commandes malveillantes. Les enquêteurs ont également trouvé des preuves que des vidéos générées par IA ont été utilisées pour tromper la cible lors de la fausse réunion.

L’acteur nord-coréen UNC1069 cible le secteur de la cryptomonnaie avec du social engineering assisté par IA, des deepfakes, et 7 nouvelles familles de malwares.

Découvrez les détails de leurs tactiques, techniques et procédures (TTP) ainsi que les indicateurs de compromission (IOC) pour détecter et traquer cette activité dans notre post 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (faisant partie de Google Cloud) (@Mandiant) 9 février 2026

« Mandiant a observé que UNC1069 utilise ces techniques pour cibler à la fois des entités corporatives et des individus dans l’industrie de la cryptomonnaie, y compris des sociétés de logiciels et leurs développeurs, ainsi que des fonds de capital-risque et leurs employés ou dirigeants », indique le rapport. Campagne de vol de cryptomonnaie en Corée du Nord L’avertissement intervient alors que les vols de cryptomonnaie en Corée du Nord continuent de croître en ampleur. Mi-décembre, la société d’analyse blockchain Chainalysis a déclaré que des hackers nord-coréens avaient volé 2,02 milliards de dollars en cryptomonnaie en 2025, soit une augmentation de 51 % par rapport à l’année précédente. Le montant total volé par des acteurs liés à la DPRK s’élève désormais à environ 6,75 milliards de dollars, même si le nombre d’attaques a diminué. Ces résultats mettent en lumière un changement plus large dans la façon dont les cybercriminels liés à l’État opèrent. Plutôt que de se concentrer sur des campagnes de phishing massives, CryptoCore et des groupes similaires privilégient des attaques très ciblées exploitant la confiance dans les interactions numériques routinières, telles que les invitations de calendrier et les appels vidéo. Ainsi, la Corée du Nord réalise des vols plus importants avec moins d’incidents, mais plus précis. Selon Mandiant, l’attaque a débuté lorsque la victime a été contactée sur Telegram par ce qui semblait être un dirigeant connu dans le domaine de la cryptomonnaie, dont le compte avait déjà été compromis. Après avoir instauré une relation de confiance, l’attaquant a envoyé un lien Calendly pour une réunion de 30 minutes, dirigeant la victime vers un faux appel Zoom hébergé sur l’infrastructure du groupe. Pendant l’appel, la victime a signalé voir une vidéo deepfake d’un PDG de cryptomonnaie bien connu. Une fois la réunion commencée, les attaquants ont affirmé qu’il y avait des problèmes audio et ont demandé à la victime d’exécuter des commandes de « dépannage », une technique ClickFix qui a finalement déclenché l’infection par malware. Une analyse forensic a ensuite identifié sept familles distinctes de malwares sur le système de la victime, déployés dans le but apparent de récolter des identifiants, des données de navigateur et des jetons de session pour du vol financier et de futures impersonations.

Impersonation par deepfake Fraser Edwards, co-fondateur et PDG de la société d’identité décentralisée cheqd, a déclaré que cette attaque reflète un schéma qu’il observe régulièrement contre des personnes dont le travail dépend de réunions à distance et de la coordination rapide. « L’efficacité de cette approche vient de la simplicité apparente », a-t-il expliqué. « L’expéditeur est familier. Le format de la réunion est routinier. Il n’y a pas de pièce jointe malveillante ou d’exploit évident. La confiance est exploitée avant qu’une défense technique ait la moindre chance d’intervenir. » Edwards a ajouté que la vidéo deepfake est généralement utilisée lors de points d’escalade, comme lors d’appels en direct, où voir un visage familier peut faire passer au second plan les doutes créés par des demandes inattendues ou des problèmes techniques. « Voir ce qui semble être une personne réelle à l’écran suffit souvent à faire passer le doute créé par une demande inattendue ou un problème technique. L’objectif n’est pas une interaction prolongée, mais juste assez de réalisme pour faire passer la victime à l’étape suivante », a-t-il expliqué. Il a également précisé que l’IA est désormais utilisée pour soutenir l’usurpation d’identité en dehors des appels en direct. « Elle sert à rédiger des messages, à corriger le ton de voix, et à imiter la façon dont quelqu’un communique habituellement avec ses collègues ou amis. Cela rend les messages routiniers plus difficiles à remettre en question et réduit la probabilité qu’un destinataire prenne le temps de vérifier l’interaction », a-t-il expliqué. Edwards a mis en garde contre l’augmentation du risque avec l’introduction d’agents IA dans la communication et la prise de décision quotidiennes. « Les agents peuvent envoyer des messages, planifier des appels, et agir au nom des utilisateurs à la vitesse de la machine. Si ces systèmes sont abusés ou compromis, des deepfakes audio ou vidéo peuvent être déployés automatiquement, transformant l’usurpation d’identité d’un effort manuel en un processus évolutif », a-t-il déclaré. Il est « irréaliste » de penser que la majorité des utilisateurs sauront repérer un deepfake, a ajouté Edwards, précisant que « la solution n’est pas de demander aux utilisateurs d’être plus attentifs, mais de construire des systèmes qui les protègent par défaut. Cela implique d’améliorer la façon dont l’authenticité est signalée et vérifiée, afin que les utilisateurs puissent rapidement déterminer si un contenu est réel, synthétique ou non vérifié, sans se fier à leur instinct, leur familiarité ou une investigation manuelle. »