Netcrook Logo
👤 LOGICFALCON
🗓️ 21 Apr 2026   🌍 Asia

Les pros de la crypto dans la ligne de mire : à l’intérieur du braquage sophistiqué des fausses réunions nord-coréennes

Une nouvelle génération de cybercriminels nord-coréens attire les experts en cryptomonnaies dans des pièges numériques à l’aide de fausses réunions et de malwares sur mesure.

Tout commence par un message LinkedIn d’une société de capital-risque prometteuse, une invitation à discuter de votre prochain grand projet crypto. Mais derrière le branding soigné et la conversation amicale se cache l’un des groupes de cybercriminalité étatique les plus agressifs au monde - UNC1069. Leur objectif ? Voler des actifs numériques pour financer l’espionnage et les programmes d’armement, avec des méthodes dignes d’un véritable manuel de la tromperie.

Anatomie d’une arnaque numérique

Des chercheurs de Google Cloud et Mandiant ont décortiqué la dernière campagne d’UNC1069, révélant un mélange d’ingénierie sociale classique et de malwares de pointe. Les attaquants commencent par se faire passer pour des fonds d’investissement - des noms comme « WallEye Capital » ou « Web3BitCapital » - et approchent leurs cibles via des plateformes professionnelles telles que LinkedIn et Telegram. En détournant des comptes existants, ils ajoutent une couche supplémentaire de légitimité.

Une fois la relation établie, la victime reçoit une invitation à une réunion - parfois via des outils familiers comme Calendly. Mais la réunion n’existe pas. Les liens redirigent en réalité les professionnels vers des sites contrôlés par les attaquants, imitant Google Meet, Zoom ou Microsoft Teams. C’est là que le piège se referme : les participants sont incités à exécuter des commandes dans le terminal ou à installer des logiciels « requis », ouvrant sans le savoir la porte à des malwares personnalisés.

Des malwares pour chaque machine

La boîte à outils d’UNC1069 est aussi variée que ses cibles. Sous Windows, les victimes sont incitées à exécuter des scripts PowerShell qui téléchargent un RAT (Remote Access Trojan) furtif appelé Cabbage RAT - capable de désactiver la sécurité, de persister au démarrage et de fouiller les extensions de navigateur à la recherche de portefeuilles crypto. Les utilisateurs Mac exécutent des commandes similaires, permettant au malware de contourner les défenses intégrées d’Apple et d’installer NukeSped, un RAT lié à la Corée du Nord. Même les systèmes Linux ne sont pas épargnés, avec des binaires ELF sur mesure qui exfiltrent les données système et établissent des canaux secrets vers les serveurs des attaquants.

En coulisses, UNC1069 gère un vaste réseau de domaines ressemblants et de serveurs régionaux aux noms de code, rendant la détection difficile pour les outils de sécurité traditionnels. Leur infrastructure est dynamique, échappant souvent aux listes noires en changeant constamment de nom de domaine et en imitant des logiciels légitimes ou des codes régionaux.

Éviter le piège

Les experts appellent à la prudence : ne copiez-collez jamais de commandes depuis une réunion en ligne, et vérifiez toujours toute demande inattendue - surtout celles impliquant des propositions d’investissement ou des liens de réunion inconnus - via un canal secondaire de confiance. Les enjeux sont élevés : une seule erreur peut signifier non seulement la perte d’actifs, mais aussi le financement direct d’opérations étatiques hostiles.

Conclusion

La campagne d’UNC1069 rappelle brutalement qu’en matière de crypto, la confiance est une arme - et que les cibles les plus lucratives sont souvent celles qui se croient trop malines pour tomber dans le piège. À mesure que les opérations cyber nord-coréennes gagnent en sophistication, la vigilance et le scepticisme restent la meilleure défense.

WIKICROOK

  • Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour amener des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à un système.
  • Remote Access Trojan (RAT) : Un Remote Access Trojan (RAT) est un malware qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui demandant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais les attaquants l’exploitent souvent pour mener des actions malveillantes en toute discrétion.
  • Domaine ressemblant : Un domaine ressemblant est une adresse web qui imite de près un site de confiance grâce à des modifications subtiles, souvent pour le phishing ou la fraude.
North Korea Cybercrime Cryptocurrency
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news