Cryptoactifs eyewash en cours d'upgrade ! Le Lazarus de Corée du Nord utilise l'IA pour deepfake Zoom et vole des millions de dollars.

Les pirates informatiques nord-coréens perfectionnent une arnaque courante aux cryptoactifs. Selon un rapport de la société de sécurité numérique Kaspersky, la branche du groupe criminel nord-coréen le plus redoutable, le Lazarus Group, connue sous le nom de BlueNoroff APT, utilise deux nouvelles activités appelées GhostCall et GhostHire, exploitant l'intelligence artificielle et des appels vidéo répétitifs pour augmenter leur crédibilité.

Le groupe Lazarus de Corée du Nord passe de demandeur d'emploi à chasseur

（source : X）

Les hackers nord-coréens sont devenus une menace mondiale, mais leurs stratégies d'infiltration ont considérablement changé. Ces criminels ne postulaient auparavant que dans des entreprises Web3, essayant de voler des actifs ou d'implanter des portes dérobées en devenant des employés internes. Cependant, récemment, ils ont commencé à utiliser de fausses annonces de recrutement pour diffuser des logiciels malveillants, se transformant de candidats à chasseurs. Maintenant, leurs plans s'élargissent à nouveau, et leurs méthodes deviennent de plus en plus difficiles à identifier.

Le groupe Lazarus est un groupe de hackers soutenu par le gouvernement nord-coréen, considéré comme le voleur de cryptoactifs le plus actif et le plus réussi au monde. Selon les estimations des Nations Unies et de la société d'analyse blockchain Chainalysis, ce groupe a volé plus de 3 milliards de dollars d'actifs en cryptoactifs depuis 2017. Ces fonds sont utilisés pour financer les programmes nucléaires et de missiles de la Corée du Nord, faisant de ce pays une menace pour la sécurité internationale.

Dans le passé, les méthodes de Lazarus étaient relativement rudimentaires. Ils envoyaient en masse des e-mails de phishing, accompagnés de fichiers infectés, espérant que quelqu'un cliquerait. Ou bien ils se faisaient passer pour des demandeurs d'emploi sur des plateformes sociales professionnelles comme LinkedIn, essayant d'entrer à l'intérieur des entreprises de cryptoactifs. Bien que ces méthodes réussissent parfois, leur taux de réussite n'est pas élevé, car de nombreuses entreprises ont déjà mis en place des mécanismes de défense appropriés.

Cependant, BlueNoroff APT, en tant que branche du groupe Lazarus spécifiquement ciblée sur les institutions financières et les entreprises de chiffrement, montre une plus grande professionnalité et adaptabilité. Les chercheurs de Kaspersky ont découvert que les deux activités, GhostCall et GhostHire, partagent la même infrastructure de gestion, ce qui montre qu'il s'agit d'un plan d'attaque multidimensionnel bien coordonné.

GhostCall et GhostHire, une double attaque des Cryptoactifs eyewash

GhostCall et GhostHire représentent une nouvelle étape des Cryptoactifs eyewash, tous deux ciblant des objectifs différents mais utilisant des techniques d'ingénierie sociale similaires.

GhostCall : une eyewash ciblant les investisseurs de haut niveau dans le Web3

Dans GhostCall, ces hackers nord-coréens en chiffrement ciblent les hauts responsables du Web3 en se faisant passer pour des investisseurs potentiels. Ils étudient le contexte, la situation de l'entreprise et les activités récentes de la cible, puis envoient des propositions d'investissement ou des invitations à collaborer hautement personnalisées. Ces messages prétendent généralement représenter des fonds de capital-risque ou des bureaux familiaux connus et indiquent un intérêt à investir des millions de dollars.

Une fois que la cible a répondu, les hackers organiseront une visioconférence, prétendant généralement utiliser Zoom ou Microsoft Teams. Cependant, ils enverront un lien vers un logiciel de réunion “mis à jour” ou “sécurisé”, prétendant que cela vise à protéger les secrets commerciaux ou à respecter les exigences de conformité. Ce logiciel est en réalité une version clonée, intégrant du code malveillant.

GhostHire : piège de recrutement pour ingénieurs blockchain

D'autre part, GhostHire attire les ingénieurs blockchain avec des opportunités de travail alléchantes. Les hackers se font passer pour des recruteurs d'entreprises de Cryptoactifs bien connues ou de projets de startups, offrant des salaires et des incitations en actions bien supérieurs aux prix du marché. Pour “tester” les compétences des candidats, ils demandent de compléter un défi de programmation ou une tâche technique.

Cette tâche implique généralement le téléchargement d'un dépôt GitHub ou d'un environnement de développement spécialisé. Cependant, ces fichiers contiennent des logiciels malveillants qui, une fois exécutés, infectent le système. Kaspersky a noté que ces hackers commencent à s'intéresser aux systèmes d'exploitation préférés des développeurs de cryptoactifs, en particulier macOS et Linux, et développent spécifiquement des variantes de logiciels malveillants.

Ces deux types de Cryptoactifs eyewash ont un défaut commun : les victimes doivent vraiment interagir avec des logiciels suspects. Cela nuit au taux de réussite des escroqueries précédentes, car de plus en plus de professionnels ayant une conscience de la sécurité élevée refusent de télécharger des logiciels d'origine inconnue. Cependant, ces pirates nord-coréens ont trouvé un nouveau moyen de réutiliser les opportunités perdues, ce qui est précisément la clé de l'escalade actuelle des menaces.

La technologie de falsification AI transforme l'échec en nouvelle arme

La collaboration renforcée entre GhostCall et GhostHire permet aux hackers d'améliorer leurs techniques d'ingénierie sociale, ce qui constitue l'évolution la plus dangereuse des escroqueries aux cryptoactifs actuelles. En plus du contenu généré par l'IA, ils peuvent également exploiter des comptes d'entrepreneurs réels piratés ou des extraits de vraies vidéoconférences, rendant leurs escroqueries plus crédibles.

Le fonctionnement est le suivant : lorsqu'un haut responsable d'une Cryptoactifs coupe le lien avec des recruteurs ou des investisseurs suspects, les hackers ne renoncent pas facilement. Au contraire, ils enregistrent l'ensemble du processus d'interaction, y compris toute image, extrait audio et environnement de fond lors d'un appel vidéo. Même si cette eyeflash échoue, ces matériaux deviennent des armes pour attaquer la prochaine victime.

Grâce à l'intelligence artificielle, les hackers peuvent synthétiser de nouveaux “dialogues” imitant de manière étonnamment réaliste le ton, les gestes et l'environnement des personnes. Par exemple :

Synthèse de vidéos profondément fausses : Des hackers peuvent utiliser des outils d'IA pour synthétiser une vidéo réelle de 30 secondes obtenue dans une escroquerie échouée en une “réunion d'investissement” ou un “entretien technique” de 5 minutes, où les expressions faciales et les mouvements des lèvres de la victime sont parfaitement synchronisés avec une voix falsifiée.

Clonage vocal : Même avec seulement quelques secondes d'échantillon vocal, les outils d'IA modernes peuvent générer des clones vocaux presque indétectables. Les hackers peuvent faire en sorte que la “victime” “recommande” une opportunité d'investissement ou un processus de recrutement dans une nouvelle arnaque.

Superposition d'identité : Plus compliqué encore, les hackers combinent plusieurs éléments de scams échoués pour créer un écosystème fictif complet. Par exemple, ils peuvent faire en sorte que “l'investisseur A” mentionne “le fondateur B” dans une vidéo, alors que les deux sont des victimes de scams précédents.

À quel point cela peut être dangereux, ça ne fait aucun doute. Un fondateur de projet de cryptoactifs peut échapper à une attaque en étant très vigilant, mais il découvre que son image a été utilisée quelques semaines plus tard pour tromper d'autres fondateurs ou investisseurs. Pire encore, ces contenus deepfake peuvent se propager sur les réseaux sociaux ou les réseaux professionnels, nuisant à la réputation de la victime.

Chaîne d'attaque réelle et recommandations de défense

Peu importe qui est la cible, les chaînes d'attaques réelles de Cryptoactifs suivent un modèle similaire :

Étape 1 : Recherche et contact

Les hackers étudient leurs cibles sur LinkedIn, Twitter et les forums de Cryptoactifs, collectant des informations personnelles et professionnelles, puis envoient des messages initiaux hautement personnalisés.

Étape deux : établir la confiance

Établir une relation de confiance par le biais de multiples communications et appels vidéo (pouvant utiliser des technologies de deepfake) pour permettre à la cible de baisser sa garde.

Étape trois : incitation au téléchargement

Exiger le téléchargement de logiciels ou de fichiers spécifiques pour des raisons raisonnables (test, conformité, confidentialité).

Étape quatre : Pénétration du système

Une fois que le logiciel malveillant est exécuté, le hacker obtient un accès au système, vole des clés privées, des phrases de récupération ou transfère directement des actifs.

Étape cinq : collecte de matériel

Même si l'attaque échoue, les hackers collectent toutes les vidéos, les voix et les informations du processus d'interaction, à des fins d'attaques futures.

Mesures de défense clés

Vérification stricte de l'identité : Confirmer l'identité de l'autre partie par plusieurs canaux indépendants, ne pas se fier à un seul moyen de contact.

Refuser les logiciels non standards : Insister sur l'utilisation des outils téléchargés officiellement tels que Zoom, Teams, etc., et refuser toute “version spéciale”.

Environnement de test isolé : Si vous devez tester du code ou des documents, utilisez une machine virtuelle ou un environnement sandbox, ne l'exécutez jamais sur le système principal.

Alerte aux tactiques de pression : toute situation créant un sentiment d'urgence, exigeant une prise de décision rapide ou prétendant être « une occasion unique » doit être fortement suspectée.

Portefeuille matériel et signatures multiples : Assurez-vous que les clés privées sont stockées dans un portefeuille matériel et que les actifs importants sont protégés par des signatures multiples.

Même si ces escroqueries aux cryptoactifs échouent, les dommages potentiels restent énormes. Quiconque est exposé à des situations anormales ou à forte pression doit rester vigilant et ne jamais télécharger de logiciels inconnus ou accepter des demandes inappropriées. L'évolution continue du groupe Lazarus de la Corée du Nord montre que la sécurité des cryptoactifs n'est plus seulement un problème technique, mais une guerre à long terme contre des attaquants de niveau étatique.