Zerion a déclaré que le crypto hacking lié à des opérateurs nord-coréens a utilisé l’IA dans une campagne de social engineering de longue durée qui a drainé environ 100 000 $ de ses hot wallets la semaine dernière.
Summary
Zerion détaille l’incident
Le fournisseur de portefeuille a déclaré dans un post-mortem qu’aucun fonds d’utilisateur, application Zerion ou infrastructure n’a été affecté. De plus, il a désactivé l’application web par précaution après la violation.
Bien que la perte soit modeste selon les normes de l’industrie, Zerion a déclaré qu’il s’agissait d’un autre cas d’une attaque de social engineering activée par l’IA liée à un groupe affilié à la RPDC. La société a également indiqué que l’attaquant avait accédé à certaines sessions connectées des membres de l’équipe, à leurs identifiants et aux clés privées de ses hot wallets.
Cependant, l’incident s’inscrit dans un schéma plus large qui définit désormais une grande partie du risque de sécurité crypto. Les acteurs liés à la Corée du Nord ciblent de plus en plus les personnes, et non le code, pour s’infiltrer dans les entreprises.
Un schéma plus large dans l’industrie
C’est la deuxième attaque de ce type ce mois-ci, après l’exploitation de 280 millions $ de Drift Protocol, qui a été touchée par ce que les enquêteurs ont décrit comme une opération de renseignement structurée par des hackers affiliés à la RPDC.
Cela dit, le changement est clair : la couche humaine, et non les bugs des smart contracts, est devenue le principal point d’entrée de la Corée du Nord dans les entreprises crypto. Zerion a déclaré que la méthode correspondait aux cas examinés par la Security Alliance, ou SEAL, la semaine dernière.
SEAL a déclaré avoir suivi et bloqué 164 domaines liés au groupe DPRK UNC1069 sur une période de deux mois, de février à avril. Le groupe a mené des campagnes de plusieurs semaines, à faible pression, sur Telegram, LinkedIn et Slack, souvent en se faisant passer pour des contacts connus ou des marques crédibles.
De plus, les tactiques reposaient sur la patience, la précision et l’armement délibéré des relations de confiance existantes. En pratique, cela signifiait que les attaquants pouvaient établir leur crédibilité avant de passer au vol.
Outils d’IA et infiltration plus profonde
L’unité de cybersécurité de Google, Mandiant, a déclaré en février que le groupe utilisait de fausses réunions Zoom et des outils d’IA pour éditer des images ou des vidéos lors de l’étape de social engineering. Les conclusions ont montré comment les escroqueries activées par l’IA peuvent rendre les contacts de routine authentiques.
Plus tôt ce mois-ci, le développeur de MetaMask et chercheur en sécurité Taylor Monahan a déclaré que des travailleurs informatiques nord-coréens ont été intégrés dans des entreprises crypto et des projets de finance décentralisée depuis au moins sept ans.
Cependant, Elliptic a déclaré que la menace va au-delà des échanges. La société de sécurité blockchain a averti que les développeurs, les contributeurs de projets et toute personne ayant accès à l’infrastructure des cryptoactifs pourraient être ciblés.
Le cas de Zerion ajoute un autre avertissement pour le secteur. À mesure que les attaquants améliorent leurs méthodes, les entreprises doivent traiter le social engineering comme un risque de sécurité central, et non comme un problème secondaire.
