Les attaques deepfake des hackers nord-coréens menacent l’industrie crypto

Un groupe de hackers nord-coréens utilise l’intelligence artificielle, des deepfakes et de nouveaux malwares pour attaquer des entreprises de crypto-monnaies. Les experts tirent la sonnette d’alarme.

Les attaques ciblent des entreprises et des investisseurs du secteur Web3 et deviennent de plus en plus difficiles à détecter. C’est ce qui ressort d’un nouveau rapport de Mandiant, une entité de Google Cloud. Selon l’entreprise de cybersécurité, la menace s’est fortement intensifiée ces derniers mois.

Nouvelles familles de malwares en circulation

Sous le nom de code UNC1069, Mandiant décrit un groupe de hackers professionnels utilisant sept nouveaux types de malwares dans une seule campagne. Cela inclut des outils comme SILENCELIFT, DEEPBREATH et CHROMEPUSH.

Ces programmes sont conçus pour contourner la sécurité et voler des identifiants et des données systèmes. En particulier, CHROMEPUSH et DEEPBREATH peuvent, selon Mandiant, pénétrer profondément dans les systèmes d’exploitation.

Réunions deepfake pour tromper les victimes

L’utilisation de vidéos deepfake lors de fausses réunions sur Zoom est notable. Dans l’une des attaques, une victime a été contactée via le compte Telegram compromis d’un éminent fondateur de crypto. Lors de l’appel sur Zoom, une vidéo générée par IA a été présentée, montrant l’interlocuteur prétendant avoir des problèmes audio.

La victime a été invitée à exécuter des commandes de « dépannage » sur son ordinateur. En réalité, cela a déclenché l’installation d’un malware. Cette méthode est appelée une attaque ClickFix.

L’IA rend les attaques plus crédibles

Mandiant suit ce groupe depuis 2018. Depuis fin 2025, les attaquants utilisent la technologie IA pour affiner et étendre leurs méthodes. Cela leur permet de créer des identités numériques et des vidéos réalistes, rendant plus difficile pour les victimes de détecter la fraude.

La cryptomonnaie, cible à nouveau de la Corée du Nord

Le secteur de la cryptomonnaie est depuis longtemps une cible importante pour les groupes nord-coréens en raison de la nature numérique et de la valeur élevée des cryptomonnaies. En juin 2025, quatre agents nord-coréens ont travaillé sous de fausses identités en tant que développeurs indépendants dans des entreprises de crypto, où ils ont dérobé pour 900 000 dollars en crypto.

Auparavant, le groupe notoire Lazarus avait été lié au piratage de la plateforme d’échange de cryptomonnaies Bybit, où environ 1,4 milliard de dollars avaient été volés – l’un des plus grands vols de crypto jamais enregistrés.

La pression sur la cybersécurité dans la fintech augmente

Les conclusions de Mandiant montrent que la sécurité traditionnelle échoue souvent face aux attaques modernes. La combinaison de malwares techniques et de manipulations psychologiques rend difficile la détection rapide de ces menaces.

Pour les entreprises de crypto, il est crucial de former les employés à reconnaître les manipulations sociales et de surveiller activement les systèmes. L’IA rend les attaques plus sophistiquées – et donc plus dangereuses.