Des hackers déploient 7 familles de logiciels malveillants avec des deepfakes IA
Selon un rapport de la division Mandiant de Google Cloud, des acteurs de menaces liés à la Corée du Nord déploient une nouvelle vague d'attaques sophistiquées contre les secteurs des cryptomonnaies et de la technologie financière (fintech). Un groupe suivi sous le nom d'UNC1069 a été observé utilisant sept familles de logiciels malveillants distinctes, y compris des outils nouvellement découverts nommés SILENCELIFT, DEEPBREATH et CHROMEPUSH, spécifiquement conçus pour capturer et exfiltrer des données des victimes.
Cette campagne marque une évolution significative des tactiques, intégrant l'intelligence artificielle pour améliorer son efficacité. Mandiant rapporte que le groupe a commencé à utiliser des "leurres activés par l'IA" dans des opérations actives en novembre 2025, leur permettant d'intensifier leurs efforts d'ingénierie sociale. Les principales cibles incluent les entreprises de cryptomonnaies, les investisseurs en capital-risque et les développeurs de logiciels.
L'ingénierie sociale exploite de fausses réunions Zoom
Les méthodes des attaquants reposent sur des stratagèmes d'ingénierie sociale élaborés. Dans une intrusion détaillée, les opérateurs ont utilisé un compte Telegram compromis appartenant à un fondateur de cryptomonnaie pour établir le contact avec une cible. La victime a ensuite été invitée à une réunion Zoom où l'attaquant, utilisant une vidéo deepfake, a feint des problèmes audio pour créer un prétexte à l'attaque.
Cette tactique, surnommée attaque "ClickFix", implique de tromper la victime pour qu'elle exécute ce qui semble être des commandes de dépannage pour résoudre le problème audio inexistant. Selon Mandiant, ces commandes contiennent un script caché qui initie la chaîne d'infection du logiciel malveillant, accordant aux attaquants l'accès au système hôte et à ses données.
La Corée du Nord liée à 1,4 milliard de dollars de vols de cryptomonnaies passés
Ces activités récentes font partie d'un schéma de cybercriminalité de longue date attribué aux groupes parrainés par l'État nord-coréen. Ces acteurs représentent une menace persistante et coûteuse pour l'industrie des actifs numériques. Le célèbre groupe Lazarus, une autre entité ayant des liens avec la Corée du Nord, était auparavant lié au piratage de 1,4 milliard de dollars de l'échange Bybit, l'un des plus grands vols de cryptomonnaies jamais enregistrés.
D'autres incidents documentés renforcent la gravité de la menace. En juin 2025, quatre opérateurs nord-coréens qui avaient infiltré plusieurs startups crypto en tant que développeurs freelances ont été découverts avoir volé un total de 900 000 dollars aux entreprises. Ces événements soulignent le danger constant et évolutif posé par ces groupes à la sécurité et à la stabilité de l'écosystème Web3.
