Les pirates nord-coréens BlueNoroff ont utilisé de faux appels Zoom et des deepfakes IA pour infiltrer une entreprise crypto et compromettre plus de 100 dirigeants Web3 dans le monde.
Points clés
- BlueNoroff s’est fait passer pour un avocat fintech, a envoyé une invitation de calendrier modifiée et a orienté la cible vers un faux appel Zoom.
- Un tour de passe-passe ClickFix sur le presse-papiers a exécuté un PowerShell sans fichier qui a saisi des identifiants et des données de portefeuilles crypto en moins de cinq minutes.
- Des images volées de webcam ont alimenté des deepfakes IA qui ont usurpé l’identité d’anciennes victimes pour appâter la prochaine vague de cibles.
BlueNoroff détourne des appels Zoom pour vider des portefeuilles
Des chercheurs chez Arctic Wolf ont retracé l’intrusion de plusieurs mois jusqu’à BlueNoroff, une branche financièrement motivée du Lazarus Group nord-coréen. La campagne a frappé une entreprise Web3 nord-américaine le 23 janvier 2026, et les opérateurs ont discrètement conservé l’accès pendant 66 jours. Se faisant passer pour un cadre juridique d’une société fintech, l’attaquant a envoyé une invitation Calendly pour un appel de suivi de routine planifié cinq mois plus tard.
Après confirmation par la cible, la réservation a remplacé son lien Google Meet par une adresse Zoom typosquattée qui semblait presque identique à la véritable. La télémétrie a ensuite montré que la victime avait cliqué sur le mauvais lien trois fois en quatre minutes, convaincue qu’il s’agissait simplement d’un bug logiciel.
À lire aussi : Le Bitcoin passe sous 59 000 $ alors que les craintes liées aux taux de la Fed reviennent sur la crypto
L’invite ClickFix implante un PowerShell sans fichier
À l’intérieur de la réunion factice, une fenêtre contextuelle prétendait que le SDK Zoom nécessitait une mise à jour et proposait une correction rapide, un stratagème connu sous le nom de ClickFix. Lorsque la victime a copié les commandes fournies, la page a silencieusement réécrit le presse‑papiers et injecté une charge utile PowerShell cachée. Ce simple collage a offert à l’attaquant un point d’appui sans qu’aucun fichier ne soit jamais écrit sur le disque.
L’implant a ensuite contacté un serveur distant, aspirant les identifiants de navigateurs et les données de portefeuilles crypto, et a détourné des sessions Telegram actives qui ont ensuite été réutilisées pour approcher de nouvelles cibles à partir de comptes de confiance. Du premier clic à la compromission complète du système, toute la chaîne s’est déroulée en moins de cinq minutes, une compromission inhabituellement rapide.
Les deepfakes recyclent les victimes pour piéger de nouvelles cibles
Les faux appels semblaient convaincants car chaque vignette de participant affichait des images de webcam volées, des portraits générés par IA ou des vidéos composites deepfake, tirés d’une bibliothèque de plus de 100 victimes antérieures dans 20 pays. Les enquêteurs ont relié ces visages synthétiques au modèle GPT-4o d’OpenAI et ont remonté le montage jusqu’à un opérateur qui a laissé le nom d’utilisateur macOS « king » dans les métadonnées. Chaque visage volé alimentait ensuite le leurre suivant, de sorte que chaque intrusion rendait l’attaque suivante plus difficile à repérer.
Les États-Unis représentaient 41 % des victimes identifiées, suivis de Singapour et du Royaume‑Uni. Environ 80 % travaillaient dans la crypto, la finance blockchain ou des rôles d’investissement proches, et les fondateurs ou directeurs généraux en constituaient près de la moitié.
BlueNoroff n’est pas nouveau dans ce domaine. Le groupe est apparu lors du braquage de la Bangladesh Bank en 2016, lorsqu’il a déplacé 81 millions de dollars, puis s’est tourné vers la crypto via sa longue opération SnatchCrypto. Cette campagne montre que le même manuel fonctionne désormais avec l’IA, augmentant le niveau d’exigence pour chaque équipe crypto qui tente de se défendre.
À lire ensuite : AAVE surperforme le Bitcoin alors que le narratif du prêt DeFi revient