L'IA Deepfake devient une nouvelle arme pour attaquer les entreprises crypto de la Corée du Nord : Google alerte

Le groupe de sécurité Mandiant de Google alerte que des hackers nord-coréens intègrent la technologie deepfake générée par l’IA dans de fausses réunions vidéo, dans le cadre d’une campagne d’attaques de plus en plus sophistiquées contre des entreprises crypto, selon un rapport publié lundi.

Mandiant indique avoir récemment enquêté sur une intrusion dans une société fintech, attribuée à UNC1069 (également appelé « CryptoCore ») – un acteur menaçant fortement lié à la Corée du Nord. L’attaque a utilisé un compte Telegram compromis, une réunion Zoom falsifiée et la technique ClickFix pour tromper la victime et exécuter des commandes malveillantes. Les enquêteurs ont également trouvé des preuves montrant que des vidéos générées par l’IA ont été utilisées lors de la réunion factice pour berner la cible.

Selon le rapport, Mandiant a constaté que UNC1069 déployait ces techniques pour cibler à la fois des organisations et des individus dans le secteur crypto, y compris des sociétés de logiciels, des programmeurs, ainsi que des fonds d’investissement en capital-risque, avec leurs équipes et leurs dirigeants.

La campagne de vol de crypto de la Corée du Nord s’intensifie

Cette alerte intervient alors que les vols de crypto liés à la Corée du Nord continuent d’augmenter en ampleur. Mi-décembre, la société d’analyse blockchain Chainalysis a indiqué que des hackers nord-coréens avaient dérobé 2,02 milliards de dollars en crypto en 2025, soit une hausse de 51 % par rapport à l’année précédente. La valeur totale des actifs numériques volés par des groupes liés à Pyongyang est estimée à environ 6,75 milliards de dollars, bien que le nombre d’attaques ait diminué.

Ces découvertes montrent une évolution dans la façon dont opèrent ces groupes de cybercriminalité liés à l’État. Au lieu de lancer des campagnes de phishing massives, CryptoCore et des groupes similaires se concentrent sur des attaques hautement personnalisées, exploitant la confiance dans des interactions numériques familières comme des invitations à des réunions ou des appels vidéo. Cela permet aux hackers de réaliser des vols de valeur plus importants avec moins d’incidents, mais avec des cibles clairement définies.

Selon Mandiant, l’attaque a débuté lorsque la victime a été contactée via Telegram par une personne semblant être un leader connu dans le secteur crypto, mais dont le compte était en réalité contrôlé par un hacker. Après avoir instauré la confiance, l’attaquant a envoyé un lien Calendly pour organiser une réunion de 30 minutes, menant la victime vers un appel Zoom falsifié hébergé sur l’infrastructure privée du groupe. Lors de l’appel, la victime a déclaré avoir vu une vidéo deepfake d’un PDG crypto célèbre.

Lorsque la réunion a commencé, le hacker a invoqué un problème de son et a guidé la victime pour exécuter des commandes de « dépannage » – une variante de la technique ClickFix – déclenchant ainsi un logiciel malveillant. L’analyse médico-légale a ensuite révélé la présence de sept autres codes malveillants différents sur le système de la victime, déployés pour voler des identifiants, des données de navigation et des jetons de session, dans le but de dérober des fonds et de usurper l’identité.

Deepfake et IA : une montée en puissance des tactiques de fraude

Fraser Edwards, cofondateur et PDG de cheqd, une société spécialisée dans la reconnaissance décentralisée, estime que cette affaire reflète une tendance où les hackers ciblent de plus en plus les individus dépendant des réunions en ligne et du travail à distance. Selon lui, l’efficacité de cette méthode réside dans le fait qu’elle ne présente presque aucun signe évident d’anomalie : expéditeur familier, format de réunion habituel, absence de fichiers joints ou de vulnérabilités apparentes. La confiance est exploitée avant que les mesures de sécurité techniques ne puissent intervenir.

Edwards explique que les vidéos deepfake sont souvent utilisées lors de phases d’escalade, par exemple lors d’un appel en direct, où l’image d’un visage familier peut dissiper tout doute suscité par des demandes inhabituelles ou des problèmes techniques. L’objectif n’est pas de prolonger l’interaction, mais d’être suffisamment réaliste pour inciter la victime à passer à l’étape suivante.

Il souligne également que l’IA est désormais utilisée pour soutenir la fraude en dehors des appels directs, notamment pour rédiger des messages, ajuster le ton et imiter le style de communication habituel d’une personne avec ses collègues ou amis. Cela rend les messages quotidiens plus difficiles à suspecter et réduit la probabilité que le destinataire prenne le temps de vérifier leur authenticité.

Selon Edwards, le risque continuera de croître à mesure que les agents IA seront davantage intégrés dans la communication et la prise de décision quotidienne. Ces systèmes peuvent envoyer des messages, planifier des appels et agir en lieu et place de l’utilisateur à une vitesse mécanique. En cas d’abus ou d’intrusion, les deepfakes audio et vidéo pourraient être déployés automatiquement, transformant la fraude d’un effort manuel à un processus évolutif à grande échelle.

Il estime qu’il est irréaliste d’attendre que la majorité des utilisateurs détectent eux-mêmes les deepfakes. Au lieu de cela, il faut mettre en place des systèmes de protection par défaut, améliorer les mécanismes d’authentification et afficher la véracité du contenu, afin que les utilisateurs puissent rapidement discerner si une information est authentique, générée par l’IA ou non vérifiée, plutôt que de se fier à leur intuition ou à leur familiarité.