Des pirates liés à la Corée du Nord utilisent de faux appels Zoom pour vider les portefeuilles de cryptomonnaies, une menace devenue quasi quotidienne pour la communauté cryptographique, selon des chercheurs en sécurité. Selon plusieurs rapports de sécurité, cette campagne a déjà rapporté environ 300 millions de dollars de fonds volés et montre peu de signes de ralentissement.
De fausses réunions Zoom utilisées pour vider les portefeuilles
Selon Security Alliance (SEAL) et d'autres chercheurs, les attaquants contactent d'abord les cibles via des applications de messagerie comme Telegram. Ils invitent ensuite les victimes à un appel vidéo qui semble légitime.
Pendant l'appel, les imposteurs prétendent qu'il y a un problème de son ou de vidéo et proposent une "solution" — un fichier ou un lien qui semble être une mise à jour officielle. Lorsque la victime exécute le fichier, un logiciel malveillant s'installe et commence à voler les identifiants, les données du navigateur et les clés cryptographiques.
Plusieurs attaques sont signalées chaque jour, et beaucoup suivent le même schéma. Les chercheurs affirment que ces appels mis en scène permettent aux attaquants de contourner la méfiance normale car les gens ont tendance à faire confiance à une personne qu'ils voient à l'écran.
SEAL suit de multiples tentatives QUOTIDIENNES d'acteurs nord-coréens utilisant des tactiques de "Faux Zoom" pour diffuser des logiciels malveillants et étendre leur accès à de nouvelles victimes.
L'ingénierie sociale est à la racine de l'attaque. Lisez le fil ci-dessous pour des conseils sur la façon de rester en sécurité. https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) 13 décembre 2025
NimDoor et autres souches de logiciels malveillants ciblent macOS et les portefeuilles
Selon les rapports, une souche liée à ces schémas est NimDoor, une porte dérobée pour macOS qui peut récolter les éléments du trousseau de clés, les mots de passe stockés dans le navigateur et les données de messagerie.
Les équipes de sécurité lient NimDoor et les outils associés à BlueNoroff, un groupe connecté au réseau du groupe Lazarus. BlueNoroff a un long historique d'attaques contre les entreprises et les plateformes d'échange de cryptomonnaies.
Une fois le logiciel malveillant en place, les portefeuilles sont vidés en quelques minutes. Les victimes découvrent souvent le vol seulement après avoir vu les transactions sortantes sur la blockchain.
Les deepfakes et les invitations calendrier rendent les escroqueries plus convaincantes
Les chercheurs avertissent que les attaquants n'utilisent pas simplement de faux noms. Ils déploient également des outils vidéo et vocaux de deepfake assistés par l'IA pour se faire passer pour des dirigeants ou des contacts connus.
Les attaquants envoient parfois des invitations calendrier qui ressemblent à de véritables demandes de réunion provenant de plateformes comme Calendly, dirigeant les cibles vers des liens Zoom contrôlés par l'attaquant.
Le niveau d'ingénierie sociale rend les appels urgents et officiels, ce qui réduit le temps que les victimes prennent pour remettre en question ce qu'on leur demande d'installer.
Les attaquants ciblent les particuliers et les petites entreprises
Les rapports ont révélé que les victimes incluent des traders individuels, des employés de startups et de petites équipes d'entreprises cryptographiques. Les pertes sont concentrées mais répandues, avec des estimations d'environ 300 000 000 $.
Certaines victimes ont perdu des fonds liés à des portefeuilles navigateur et des portefeuilles chauds ; d'autres ont vu leurs phrases de récupération capturées et utilisées pour vider leurs comptes.
Les équipes de sécurité recommandent d'agir rapidement lorsqu'une mise à jour suspecte est proposée pendant une session à distance : elles avertissent de ne pas l'exécuter, de vérifier séparément et de traiter les correctifs de réunion non sollicités comme à haut risque.
Image principale de Unsplash, graphique de TradingView
