Des hackers nord-coréens ciblent la crypto avec des malwares pour Mac

La société de cybersécurité Huntress a découvert une campagne de hacking hautement sophistiquée ciblant les utilisateurs de Mac dans le secteur de la cryptomonnaie, qui a utilisé des appels Zoom deepfake, une ingénierie sociale astucieuse et des malwares spécifiques à Mac dans une opération inhabituellement sophistiquée.

Huntress a commencé à enquêter sur l’intrusion le 11 juin 2025, après qu’un partenaire a signalé une activité suspecte. L’attaque a finalement été attribuée au groupe de hackers nord-coréen BlueNoroff (également connu sous le nom de Sapphire Sleet ou TA444), qui cible le secteur de la cryptomonnaie avec des campagnes motivées financièrement depuis au moins 2017.

Les hackers ciblent spécifiquement les utilisateurs de macOS en utilisant la technologie deepfake pour usurper l’identité des dirigeants d’entreprise lors de fausses réunions Zoom afin de voler des cryptomonnaies.

Comment fonctionne l’escroquerie

Tout a commencé lorsqu’un employé (cible) d’une fondation de cryptomonnaie a reçu un message apparemment inoffensif d’un contact externe sur leur Telegram demandant une réunion. L’attaquant a partagé un lien Calendly qui semblait programmer un appel Google Meet, mais en cliquant dessus, l’utilisateur a été redirigé vers un domaine Zoom falsifié contrôlé par l’acteur de la menace.

Quelques semaines plus tard, l’employé a rejoint une « réunion Zoom » peuplée de deepfakes imitant la direction de leur entreprise, ainsi que des contacts externes. Pendant la réunion, l’employé n’a pas pu utiliser son microphone, et les deepfakes lui ont demandé de télécharger une « extension Zoom ». Le lien vers cette extension envoyé via Telegram s’est avéré être un fichier AppleScript malveillant (zoom_sdk_support.scpt) déguisé en outil de dépannage.

Une fois téléchargé, l’AppleScript a d’abord ouvert une page web légitime pour les SDK Zoom, mais après plus de 10 500 lignes vides, il a téléchargé un payload depuis un site web malveillant, https[://]support[.]us05web-zoom[.]biz, et l’a exécuté.

Au moment où Huntress a commencé son enquête, le payload final avait déjà été supprimé du serveur de l’attaquant. Cependant, ils ont pu trouver une version sur VirusTotal qui offrait des informations précieuses sur ce que le malware était conçu pour faire.

« Le script commence par désactiver l’enregistrement de l’historique bash puis vérifie si Rosetta 2, qui permet aux Mac Apple Silicon d’exécuter des binaires x86_64, est installé », ont expliqué les chercheurs de Huntress dans un article de blog mercredi.

« Si ce n’est pas le cas, il l’installe silencieusement pour s’assurer que les payloads x86_64 peuvent s’exécuter. Il crée ensuite un fichier appelé .pwd, qui est caché de la vue de l’utilisateur en raison du point qui le précède, et télécharge le payload depuis la fausse page Zoom vers /tmp/icloud_helper. »

Un malware spécifique à Mac sur mesure

** Contrairement aux malwares standard, cette attaque impliquait un kit d’outils sur mesure avec au moins huit composants distincts, tous spécifiquement adaptés pour macOS. Ils étaient :

• Telegram 2 : Le binaire persistant, écrit en Nim, qui était responsable du démarrage de la porte dérobée principale.
• Root Troy V4 (remoted) : Une porte dérobée complète écrite en Go, capable de télécharger et d’exécuter d’autres outils malveillants.
• InjectWithDyld (« a ») : Un chargeur binaire C++ téléchargé par Root Troy V4, responsable du décryptage et du chargement de deux implants supplémentaires.
• Base App : Une application Swift apparemment inoffensive qui sert de cible d’injection pour le code malveillant.
• Payload : Un implant différent écrit en Nim, conçu pour exécuter des commandes sur le système infecté.
• XScreen (keyboardd) : Un puissant keylogger écrit en Objective-C, capable de capturer les frappes, le contenu du presse-papiers et l’activité de l’écran.
• CryptoBot (airmond) : Un outil basé sur Go conçu pour collecter des fichiers liés à la cryptomonnaie depuis la machine de la victime.
• NetChk : Un binaire leurre sans fonction significative, qui générera des nombres aléatoires indéfiniment, probablement inclus pour l’obfuscation ou la diversion.

Notamment, le malware utilisait des astuces astucieuses pour éviter la détection, comme n’exécuter des commandes que lorsque l’affichage du Mac était en veille. Il a été soigneusement conçu pour contourner les couches de sécurité de macOS en utilisant AppleScript et l’injection de processus.

Alerte pour les utilisateurs de macOS

Historiquement, macOS a été considéré comme un système d’exploitation plus sûr, mais cette perception est de plus en plus dépassée. À mesure que de plus en plus d’entreprises adoptent des Macs et que le travail à distance devient la norme, les attaquants s’adaptent rapidement.

« Au cours des dernières années, nous avons vu macOS devenir une cible plus importante pour les acteurs de la menace, en particulier en ce qui concerne les attaquants hautement sophistiqués et soutenus par l’État », ont noté les chercheurs de Huntress. « À mesure que ces attaques et la fréquence à laquelle elles se produisent continuent d’augmenter, il sera de plus en plus important de protéger vos Macs. »

Cette campagne rend une chose claire : lorsque des groupes soutenus par l’État comme BlueNoroff sont impliqués, même un appel vidéo n’est pas toujours ce qu’il semble.