Les cybercriminels nord-coréens utilisent des deepfakes d'IA pour voler des cryptomonnaies

Nouvelle tactique d’attaque cybernétiques de la part d’un groupe lié à la ROK

Les spécialistes de Google ont révélé le fonctionnement du groupe de hackers (UNC1069), supposément sous contrôle des autorités nord‑coréennes. Depuis 2018, ils utilisent l’intelligence artificielle pour créer de nouveaux ensembles d’outils et de schémas d’ingénierie sociale ciblant les citoyens et les employés de sociétés de cryptomonnaies.

Comment se déroule l’attaque
1. Piratage du compte

Les hackers accèdent à un compte existant (généralement sur les réseaux sociaux ou la messagerie).

2. Lancement de vidéoconférence

À partir de ce compte, ils envoient à la victime un lien vers une session Zoom.

3. Rencontre deep‑fake

Au sein de l’appel apparaît une vidéo avec un visage factice – par exemple, « directeur général d’une autre société crypto ». Cela est créé grâce à l’IA et paraît si réaliste que la plupart des gens ne remarqueront pas le faux.

4. “Maintenance” étape par étape

Le deep‑fake signale des problèmes techniques et demande à l’utilisateur de réaliser une série d’actions sur son ordinateur. Les instructions contiennent des commandes malveillantes qui lancent des backdoors et des programmes de vol de données.

5. Obtention du matériel précieux

Après avoir suivi les instructions, les attaquants obtiennent accès aux informations confidentielles et peuvent potentiellement voler des cryptomonnaies.

Arsenal technologique
- Gemini (assistant IA) – utilisé pour générer du code, simuler des mises à jour logicielles et préparer des instructions.

- GPT‑4o d’OpenAI – employé par le groupe BlueNoroff pour améliorer les images qui convainquent les utilisateurs de l’authenticité de l’invitation.

Google a désigné cette technique comme « ingénierie sociale utilisant l’IA » et a identifié sept nouvelles familles de logiciels malveillants impliqués dans l’attaque.

Objectifs et conséquences
- Vol de cryptomonnaies – principal motif financier.

- Collecte de données personnelles – création d’une base pour des campagnes d’ingénierie sociale futures.

- Attaques sectorielles – cibles incluent les développeurs de logiciels, les sociétés de capital-risque et leurs dirigeants.

Un compte lié au groupe a été bloqué par Google après que les attaquants aient utilisé Gemini pour développer des outils d’espionnage.

Ainsi, UNC1069 démontre comment les technologies IA modernes permettent aux hackers de créer des attaques hautement efficaces et difficiles à distinguer contre des publics cibles dans le secteur des cryptomonnaies.