UNC1069 la menace que l'IA utilise et les vidéos générées pour voler crypt et les identifiants

Un groupe lié à la Corée du Nord, connu dans la communauté de la cybersécurité sous le nom UNC1069 - également tracé sous les noms CryptoCore et MASAN - a intensifié ses efforts contre l'écosystème de cryptomonéda en utilisant des tactiques d'ingénierie sociale très sophistiquées combinées avec des outils modernes tels que l'intelligence génératrice artificielle. Selon l'équipe de renseignement sur les menaces de Google et de Mandiant, ces opérations ne cherchent pas seulement un accès en temps opportun : elles sont conçues pour obtenir des justificatifs d'identité, des jetons de session et du matériel qui permettent le détournement de fonds numériques directement ou indirectement. La préoccupation est double: d'une part la précision des leurres et d'autre part la variété des charges malveillantes qui peuvent tomber sur une machine compromise. Pour le rapport Google / Mandiant voir la note technique sur le blog Google Cloud: UNC1069 cible cryptomonnaie, AI@-@ enabled social engineering.

Le modus operandi décrit par les analystes commence par un contact par Telegram. Les agresseurs, utilisant parfois des comptes commis légitimes, se présentent comme des investisseurs ou des fondateurs et proposent une réunion. Pour fermer le rendez-vous, ils utilisent des outils légitimes comme Calendly ; l'invitation contient un lien qui redirige vers une page qui imite Zoom. Ce lien ne mène pas à une réunion sécurisée, mais à un trappeur en ligne qui reproduit une interface vidéo et montre dans de nombreux cas une vidéo qui semble être l'interlocuteur. Des recherches antérieures ont documenté l'utilisation de matériel audiovisuel généré par l'IA ou des enregistrements réutilisés pour renforcer l'illusion d'une session en direct.

Lorsque la victime "entre" cette fausse pièce, on lui demande d'allumer la caméra et de confirmer son identité. Ensuite, un prétexte technique - un supposé défaut audio - apparaît et un assistant sur la page offre une solution rapide: exécutez une commande ou un installateur pour résoudre le problème. Cette étape est le piège qui déploie les logiciels malveillants. Dans macOS le vecteur conduit à un AppleScript qui télécharge un binaire Mach-O; dans Windows le flux se tourne vers les exécutables et les téléchargements qui servent de passerelle à une chaîne complète d'outils malveillants.

Les chercheurs de Mandiant ont détecté jusqu'à sept familles différentes de malwares en une seule intrusion, dont beaucoup sont nouvelles dans le répertoire du groupe. Avec des noms comme WAVESHAPER, HYPERCALL, HIDDENCALL, DEEPBREATH, SUGARLOADER, CHROMEPUSH et SILENCELIFT, l'infrastructure combine C + + et Go, des portes arrière qui permettent la télécommande et des composants spécifiques pour macos et extensions de navigateur. Le schéma est clair: d'abord un téléchargement est installé, puis des portes arrière sont articulées qui permettent un accès direct et enfin des modules conçus pour exfilter des identifiants et des données sensibles sont exécutées.

En particulier, DEEPBREATH se distingue par sa capacité à manipuler la base de données MacOS Permission (TCC) afin d'accéder à des éléments protégés tels que la clé iCloud, ainsi que les données de navigateur (cookies, mots de passe) et des applications telles que Telegram ou Apple Notes. CHROMEPUSH, pour sa part, agit comme une extension malveillante qui est installée dans les navigateurs tels que Chrome et Brave prétendant être un éditeur hors ligne de Google Docs; sa fonction inclut l'enregistrement des clés, la capture d'entrées utilisateur et le vol de cookies pour enlever des sessions. En d'autres termes, la combinaison de ces éléments facilite à la fois le vol direct de clés ou d'identités privées et l'enlèvement de séances pour déplacer des actifs numériques.

L'une des raisons pour lesquelles ces attaques ont attiré tant d'attention est l'utilisation de techniques d'ingénierie sociale renforcées par l'IA. Google a souligné l'utilisation de modèles génériques - tels que ceux offerts par sa propre plateforme - pour créer des messages d'approche, jouer des voix ou des visages crédibles, et même essayer d'écrire un code capable d'extraire des actifs. Cette utilisation de l'IA réduit les coûts et augmente l'échelle des leurres, rendant les cadres, les développeurs et les équipes de sécurité encore plus vulnérables. Pour ceux qui veulent approfondir la manière dont les acteurs de l'État intègrent les outils modernes, le fichier Mandiant offre des ressources et des rapports supplémentaires: Ressources Mandiant.

L'impact potentiel est particulièrement dangereux pour les entreprises et les professionnels dans le monde critique. Un seul navigateur compromis ou un cookie de session volé peut permettre à un attaquant d'accéder à des plateformes d'échange centralisées (CEX), à des interfaces de gestion de portefeuille ou à des comptes de service qui conservent des clés d'accès. En outre, la pratique de la réutilisation d'enregistrements de victimes antérieures - documentée par différents fournisseurs comme une méthode de tromperie - ajoute une couche psychologique puissante: voir "un visage connu" ou entendre "la voix de quelqu'un réel" réduit la suspicion et augmente la confiance de ceux qui reçoivent l'invitation. Kaspersky et d'autres fournisseurs ont rapporté des campagnes dans ce style dans lequel la vidéo rejouait exactement pour convaincre plus de victimes; plus d'informations sur des canaux spécialisés tels que le blog de Kaspersky: Kaspersky Security Blog.

Que peuvent faire les entreprises et les professionnels pour atténuer les risques? Tout d'abord, vérifiez l'origine de toute invitation à se rencontrer, surtout si elle passe par des canaux tels que Telegram ou si elle inclut des adresses apparentes à des services tiers. Ne pas exécuter les commandes provenant d'un site Web douteux ou installer des outils sans vérifier la signature et l'origine. Dans macOS, il convient d'examiner régulièrement les autorisations de la STC, de limiter l'accès à la chaîne des clés et d'utiliser les mots de passe et l'authentification dans deux facteurs robustes; dans le monde critique, il est recommandé de séparer les appareils qui stockent les clés de ceux utilisés pour la communication et la navigation, et de prioriser les clés physiques pour 2FA dans la mesure du possible. Les terminaux et les outils de détection de télémétrie réseau qui identifient les comportements anormaux - téléchargements inhabituels, connexions sortantes aux serveurs C2, installation d'extension non autorisée - constituent une autre barrière importante. Pour les directives générales sur les mesures défensives et la façon de réagir aux intrusions, les organismes publics de cybersécurité offrent des guides utiles, à commencer par le site Web de la CISA : CISA.

Au-delà de l'action immédiate, ces cas mettent en évidence une tendance plus marquée : l'industrie de la sécurité ne se limite plus aux exploits techniques ; les adversaires combinent l'ingénierie psychologique, les plates-formes légitimes et l'automatisation IA pour créer des attaques hautement crédibles. La réponse exige non seulement des correctifs et une détection, mais aussi une formation continue, des contrôles d'identité stricts et une approche de sécurité par couche qui réduit la surface de l'attaque dans les environnements financiers et de développement.

Si vous travaillez sur une startup critique, une entreprise de capital-risque ou des équipes de développement qui interagissent avec des actifs numériques, il est approprié de prendre cette alerte comme un rappel : c'est une invitation valide, la méfiance des raccourcis qui demandent à exécuter des outils externes et séparer vos actifs critiques en dispositifs et processus que vous n'utilisez pas pour des tâches quotidiennes. La menace est réelle et évolue rapidement; garder informé et appliquer des contrôles de base peut faire la différence entre éviter l'intrusion et subir un vol de biens.