Clonage de téléphone et deepfakes IA : comment les hackers nord-coréens attaquent les professionnels de la cryptomonnaie

L’industrie de la cryptomonnaie est confrontée à une nouvelle vague de cybermenaces. Les hackers nord-coréens, liés au Lazarus Group, utilisent des méthodes d’attaque innovantes, notamment une intégration approfondie des technologies de clonage de téléphone et de vidéos générées par IA. Cette combinaison leur permet de pénétrer avec une efficacité sans précédent dans les systèmes des professionnels de la cryptographie et de voler des actifs numériques.

Selon des entreprises de recherche, notamment Odaily et Huntress, les malfaiteurs utilisent des comptes Telegram compromis pour initier des appels vidéo avec des visages falsifiés. Ils se font passer pour des connaissances, collègues ou personnes de confiance afin de convaincre les victimes d’installer un logiciel malveillant.

Appels vidéo avec des visages falsifiés : nouvelle tactique du Lazarus Group

Martin Kuharj, cofondateur de la conférence BTC Prague, a partagé les détails d’une de ces tentatives. Les attaquants initient des appels vidéo via des comptes piratés et utilisent des deepfakes générés par IA pour falsifier l’identité. Sous prétexte de résoudre un problème de son dans Zoom, ils persuadent les utilisateurs de télécharger un « plugin » ou une « mise à jour » spécifique.

Il s’agit en réalité du point d’entrée par lequel le clonage du téléphone et l’installation d’un malware à plusieurs niveaux sont effectués. La victime, pensant résoudre un problème technique, donne en fait aux hackers un accès complet à son appareil.

Infection en couches : comment les logiciels malveillants prennent le contrôle des appareils

Les recherches de Huntress ont révélé que les scripts téléchargés peuvent exécuter des opérations complexes sur les appareils macOS. Le matériel infecté devient une cible pour l’installation de portes dérobées — des accès cachés permettant aux hackers de revenir dans le système à tout moment.

Les capacités du malware vont bien au-delà de la simple surveillance :

• Enregistrement de toutes les frappes clavier (y compris mots de passe et codes d’accès)
• Interception du contenu du presse-papiers (qui peut contenir des informations sur les portefeuilles)
• Accès aux actifs chiffrés et aux portefeuilles de cryptomonnaies
• Clonage des données de l’appareil pour une utilisation lors d’opérations ultérieures

Clonage d’appareils et vol d’actifs crypto

Les experts de SlowMist notent que ces opérations présentent des signes clairs d’une campagne planifiée contre des cibles spécifiques. Chaque attaque est soigneusement conçue et adaptée à un professionnel de la cryptographie ou à un portefeuille précis.

Le groupe, également connu sous le nom de BlueNoroff, utilise les données de clonage d’appareil non seulement pour un accès à court terme, mais aussi pour un contrôle à long terme. Ils peuvent suivre les transactions, surveiller le mouvement des actifs et attendre le moment idéal pour les dérober.

Il est particulièrement dangereux que le clonage de téléphone permette aux malfaiteurs de contourner les méthodes classiques d’authentification à deux facteurs, basées sur des codes SMS envoyés sur l’appareil de la victime.

Protection contre les attaques avancées : mesures de sécurité pratiques

Avec la prolifération des technologies de clonage vocal et facial, les vidéos et enregistrements audio ne constituent plus une méthode fiable de vérification d’identité. L’industrie de la cryptomonnaie doit rapidement repenser son approche de la sécurité.

Les experts recommandent d’adopter les mesures suivantes :

• Authentification multifactorielle (MFA) — ne pas se fier uniquement aux SMS, utiliser des clés de sécurité matérielles
• Vérification d’identité via des canaux indépendants — appeler un numéro connu si vous doutez de l’authenticité d’un appel vidéo
• Mises à jour régulières de sécurité — mettre constamment à jour les logiciels et applications pour combler les vulnérabilités
• Surveillance des appareils — surveiller toute activité inhabituelle, processus suspects, changements dans le système
• Isolation des actifs critiques — stocker de grandes sommes sur des portefeuilles froids, non connectés à Internet

Les hackers nord-coréens continuent d’affiner leur tactique, en utilisant des technologies avancées d’IA et de clonage pour contourner les protections traditionnelles. L’industrie de la cryptomonnaie doit rester vigilante et adapter constamment ses stratégies de sécurité pour faire face à ces menaces croissantes. Seule une approche globale de la cybersécurité, intégrant le clonage de téléphone pour détecter toute activité suspecte et renforcer l’authentification multifactorielle, peut assurer une protection fiable des professionnels de la cryptographie.