Au cours des derniers jours, au moins trois fondateurs d’entreprises dans le secteur des cryptomonnaies ont signalé des tentatives de fraude liées à des hackers nord-coréens suspects. Les criminels informatiques auraient tenté de dérober des données sensibles via des appels Zoom contrefaits, en utilisant une technique sophistiquée qui exploite la psychologie des victimes.
Summary
La nouvelle méthode des hackers de Corée du Nord : faux appels Zoom avec des problèmes techniques
Nick Bax, membre du groupe de hackers éthiques Security Alliance, a dénoncé la nouvelle méthode d’attaque avec un post sur X (anciennement Twitter) le 11 mars. Selon Bax, cette stratégie a déjà conduit au vol de millions de dollars par les escrocs.
Le modus operandi prévoit le contact de la victime avec une proposition de rencontre ou de collaboration. Une fois l’appel vidéo lancé, les malintentionnés envoient un message signalant des problèmes audio, tandis qu’une vidéo préenregistrée d’un pseudo-investisseur à l’air ennuyé apparaît à l’écran. À ce moment-là, un lien vers un nouvel appel est envoyé à la victime, expliquant qu’il est nécessaire pour résoudre le problème technique.
Cependant, le nouveau lien est en réalité un malware déguisé, qui demande à l’utilisateur d’installer un correctif pour rétablir le bon fonctionnement audio/vidéo. Bax souligne comment cette technique exploite la précipitation et la pression psychologique du moment :
« Vous pensez rencontrer des investisseurs importants et vous essayez de résoudre le problème rapidement, en baissant votre garde. Mais une fois le correctif installé, vous êtes piégés. »
Fondateurs de sociétés crypto dans le viseur des hackers nord-coréens
Après la révélation de Bax, plusieurs fondateurs d’entreprises dans le secteur de la blockchain ont raconté des expériences similaires. Giulio Xiloyannis, co-fondateur de la plateforme de gaming basée sur la blockchain Mon Protocol, a rapporté avoir presque été victime de l’arnaque. Selon les rapports, les hackers ont tenté de le tromper, lui et le responsable du marketing, avec une proposition de partenariat. Cependant, Xiloyannis a flairé la supercherie lorsqu’il a été redirigé à la dernière minute vers un lien suspect, qui prétendait ne pas pouvoir lire l’audio pour le pousser à télécharger un fichier dangereux.
Un autre cas concerne David Zhang, co-fondateur de Stably, une startup qui s’occupe de stablecoin soutenues par des capital-risque américains. Lui aussi a été contacté par les escrocs, qui ont initialement utilisé son lien personnel de Google Meet. Cependant, peu après, sous le prétexte d’une réunion interne, ils lui ont demandé de se connecter à un autre appel vidéo faux.
Zhang, qui a répondu à l’appel depuis sa tablette, a estimé que le malware des hackers était principalement conçu pour les systèmes d’exploitation de bureau, car il n’a pas remarqué d’anomalies évidentes sur son appareil mobile.
Une autre victime de la tentative d’attaque est Melbin Thomas, fondateur de la plateforme décentralisée d’intelligence artificielle Devdock AI, spécialisée dans les projets Web3. Après avoir lancé par erreur l’installation du fichier infecté, Thomas a réussi à bloquer le processus à temps en évitant de saisir le mot de passe. Par précaution, il a déconnecté l’ordinateur portable et réinitialisé l’appareil aux paramètres d’usine, mais le doute persiste quant à savoir si les fichiers transférés sur un disque dur externe avaient été compromis.
L’alerte des États-Unis, du Japon et de la Corée du Sud sur les cyberattaques nord-coréennes
Ces épisodes s’inscrivent dans un contexte plus large de menace cybernétique croissante de la part de groupes de hackers nord-coréens. Le 14 janvier, les États-Unis, le Japon et la Corée du Sud ont publié un communiqué conjoint pour avertir du danger représenté par les criminels informatiques liés à la Corée du Nord, avec une attention particulière vers le secteur des criptovalute.
Parmi les groupes de hackers les plus connus figure Lazarus Group, accusé d’être impliqué dans certains des plus grands vols de l’histoire de la blockchain. Le groupe est soupçonné d’avoir orchestré des attaques comme celle contre Bybit, qui a conduit à la soustraction de 1,4 milliard de dollars, et celle contre le réseau Ronin, qui a vu un vol de 600 millions de dollars.
Après les nombreuses attaques, les hackers de Lazarus ont déplacé les fonds volés à travers des plateformes de mixing, des outils utilisés pour masquer l’origine des cryptomonnaies. Selon CertiK, société spécialisée dans la sécurité blockchain, le groupe a récemment déposé 400 Ethereum (ETH), pour une valeur d’environ 750.000 dollars, dans le service de mixing Tornado Cash.
Conclusions : un risque croissant pour le monde crypto
Les épisodes signalés par les fondateurs d’entreprises dans le secteur de la blockchain confirment que les hackers affinent de plus en plus leurs techniques, exploitant la confiance et la précipitation des victimes. La fréquence croissante de ces attaques pousse les experts en sécurité à réitérer l’importance d’adopter des mesures préventives, comme vérifier chaque lien avant de cliquer dessus et éviter d’installer des fichiers provenant de sources inconnues.
Avec l’intensification des activités de groupes comme Lazarus, le monde des cryptomonnaies doit faire face à un risque toujours plus grand lié aux cyberattaques. La collaboration entre entreprises, experts en sécurité et gouvernements sera fondamentale pour contrer ces menaces et protéger les capitaux numériques de vols de plus en plus sophistiqués.
