- Mandiant signale que le groupe UNC1069 utilise des comptes Telegram compromis, de faux appels Zoom et des vidéos deepfake
- Les victimes sont piégées et amenées à installer une suite de malwares comprenant WAVESHAPER, HYPERCALL et SUGARLOADER
- Des acteurs nord-coréens ciblent des entreprises du secteur des cryptomonnaies, poursuivant des campagnes de vols liées à l’État, comme celles attribuées à Lazarus et TraderTraitor
Des cybercriminels nord-coréens semblent élever encore leur niveau, un nouveau rapport de Mandiant affirmant qu’ils utilisent désormais une combinaison de comptes Telegram compromis, de faux appels Zoom, de vidéos deepfake et d’une demi-douzaine de souches de malwares.
Ce dispositif particulièrement élaboré aurait été utilisé contre des organisations du secteur des cryptomonnaies, avec pour objectif de dérober leurs avoirs en cryptoactifs.
Dans son rapport, Mandiant indique avoir observé un groupe suivi sous le nom d’UNC1069 utilisant cette technique avancée. L’attaque débute par la compromission d’un compte Telegram appartenant à un PDG ou à un autre dirigeant de haut niveau. Ce compte est ensuite utilisé pour engager la conversation avec la victime et, après quelques échanges, l’inviter à participer à un appel Zoom.
L'article continue ci-dessousAttaque infructueuse
Mais l’appel n’est pas légitime. Il s’agit d’une réunion Zoom usurpée, hébergée sur l’infrastructure de l’acteur malveillant — zoom[.]uswe05[.]us. Lors de l’appel, les victimes voient une vidéo deepfake du PDG usurpé, affirmant que leur audio ne fonctionne pas et qu’il convient de corriger le problème.
Enfin, selon une méthode classique de type ClickFix, une solution est proposée aux victimes. Au lieu de « corriger » une erreur inexistante, celle-ci déploie une large série de malwares : WAVESHAPER, HYPERCALL, HIDENCALL, SUGARLOADER, SILENCELIFT, DEEPBREATH et CHROMEPUSH.
Ensemble, ces outils forment une chaîne d’infection en plusieurs étapes permettant la persistance, le vol d’identifiants, l’exfiltration de données de navigation et un accès à long terme.
UNC1069 n’est pas un acteur de la menace largement reconnu. Toutefois, puisque UNC signifie Uncategorized ou Unclassified, cela peut simplement indiquer qu’un acteur déjà observé a modifié son infrastructure ou sa technique sans avoir encore été formellement attribué.
Les acteurs nord-coréens sont tristement célèbres pour cibler les entreprises de cryptomonnaies. Certaines des plus importantes opérations de vol ont été attribuées à des groupes soutenus par l’État, tels que Lazarus. Ces collectifs sont souvent chargés de dérober des cryptomonnaies, par lesquelles le pays finance son programme d’armement et son appareil d’État.
Le plus grand vol de cryptomonnaies jamais enregistré reste le piratage du 21 février 2025 de la plateforme basée à Dubaï, Bybit, au cours duquel environ 1,5 milliard d’actifs liés à l’ether ont été dérobés depuis un portefeuille hors ligne. Des analystes et les forces de l’ordre ont lié cette attaque à des groupes de cybercriminels nord-coréens affiliés à l’État, notamment le Lazarus Group et TraderTraitor.