Les pirates nord-coréens BlueNoroff ont utilisé de faux appels Zoom et des deepfakes IA pour compromettre une entreprise crypto et plus de 100 dirigeants Web3 dans le monde.
Points clés
- BlueNoroff s’est fait passer pour un avocat fintech, a envoyé une invitation de calendrier modifiée et a attiré la cible dans un faux appel Zoom.
- Une astuce ClickFix via le presse-papiers a exécuté un PowerShell sans fichier qui a saisi les identifiants et les données de portefeuilles crypto en moins de cinq minutes.
- Des séquences de webcam volées ont alimenté des deepfakes IA qui imitaient d’anciennes victimes pour appâter la vague suivante de cibles.
BlueNoroff détourne des appels Zoom pour vider des portefeuilles
Des chercheurs de Arctic Wolf ont retracé une intrusion de plusieurs mois jusqu’à BlueNoroff, branche à motivation financière du Lazarus Group nord‑coréen. La campagne a frappé une entreprise Web3 nord‑américaine le 23 janvier 2026, et les opérateurs ont discrètement conservé l’accès pendant 66 jours. Se faisant passer pour un cadre juridique d’une société fintech, l’attaquant a envoyé une invitation Calendly pour un appel de suivi de routine planifié cinq mois plus tard.
Après confirmation par la cible, la réservation a remplacé le lien Google Meet par une adresse Zoom typosquattée, presque identique à la véritable. La télémétrie a ensuite montré que la victime avait cliqué trois fois sur le mauvais lien en quatre minutes, convaincue que le logiciel buggait simplement.
À lire aussi : Le Bitcoin passe sous 59 000 $ alors que les craintes liées aux taux de la Fed reviennent hanter la crypto
L’invite ClickFix implante un PowerShell sans fichier
Dans la fausse réunion, une fenêtre contextuelle affirmait que le SDK Zoom devait être mis à jour et proposait une correction rapide, une ruse connue sous le nom de ClickFix. Lorsque la victime a copié les commandes fournies, la page a silencieusement réécrit le presse-papiers et injecté une charge utile PowerShell cachée. Ce simple collage a offert à l’attaquant un point d’appui sans qu’aucun fichier ne touche jamais le disque.
L’implant a ensuite contacté un serveur distant, aspirant les identifiants de navigateurs et les données de portefeuilles crypto, et a détourné des sessions Telegram actives qui ont ensuite servi à approcher de nouvelles cibles depuis des comptes jugés fiables. Du premier clic à la compromission complète du système, toute la chaîne a duré moins de cinq minutes, un délai exceptionnellement court.
Les deepfakes recyclent les victimes pour piéger de nouvelles cibles
Les faux appels paraissaient convaincants parce que chaque vignette de participant montrait des séquences de webcam volées, des portraits générés par IA ou des vidéos composites deepfake, tirés d’une bibliothèque de plus de 100 victimes antérieures dans 20 pays. Les enquêteurs ont relié ces visages synthétiques au modèle GPT‑4o d’OpenAI et retracé le montage jusqu’à un opérateur ayant laissé le nom d’utilisateur macOS « king » dans les métadonnées. Chaque visage volé servait ensuite à un nouvel appât, de sorte que chaque intrusion rendait l’attaque suivante plus difficile à repérer.
Les États‑Unis représentaient 41 % des victimes identifiées, suivis par Singapour et le Royaume‑Uni. Environ 80 % travaillaient dans la crypto, la finance blockchain ou des rôles d’investissement proches, et les fondateurs ou directeurs généraux en constituaient près de la moitié.
BlueNoroff n’est pas novice en la matière. Le groupe est apparu lors du casse de la Bangladesh Bank en 2016, lorsqu’il a détourné 81 millions de dollars, puis a pivoté vers la crypto via sa longue opération SnatchCrypto. Cette campagne montre que le même mode opératoire tourne désormais à l’IA, relevant le niveau d’exigence pour chaque équipe crypto qui tente de se défendre.
À lire ensuite : AAVE surperforme le Bitcoin alors que le narratif du prêt DeFi revient sur le devant de la scène