Ces dernières semaines, plusieurs figures de l’écosystème crypto ont tiré la sonnette d’alarme face à une nouvelle stratégie de piratage très sophistiquées. Des hackers, soupçonnés d’être liés à la Corée du Nord, se font passer pour des investisseurs ou partenaires potentiels lors de faux appels professionnels organisés via Zoom. Objectif : inciter leurs cibles à installer un logiciel malveillant.
“Pirates nord-coréens”
Selon Nick Bax, chercheur en cybersécurité au sein de la Security Alliance, cette technique a déjà permis aux cybercriminels de dérober plusieurs millions de dollars. Le mode opératoire repose sur une approche psychologique bien rodée : les pirates contactent des entrepreneurs du secteur pour proposer un partenariat ou une collaboration. Lors de l’appel, ils simulent un problème audio, puis envoient un nouveau lien accompagné d’une prétendue mise à jour à installer. “Vous rencontrez des problèmes audio lors de votre appel Zoom ? Ce n’est pas un VC, ce sont des pirates nord-coréens”, alerte Nick Bax. “Ils envoient des messages dans le chat indiquant qu’ils n’entendent pas votre audio.”
Ce lien redirige en réalité vers un malware présenté comme un patch audio/vidéo. Pensant résoudre un simple souci technique, les victimes installent sans méfiance un logiciel espion sur leur machine. Face à cette menace, Nick Bax recommande une vigilance absolue : “Si quelqu’un vous demande de changer de salle virtuelle, ne cliquez pas sur son lien. Créez plutôt votre propre salle sécurisée, comme sur Google Meet, et invitez-le à vous y rejoindre. Et si vous avez déjà lancé l’installation du fichier, coupez immédiatement la connexion Internet et éteignez votre appareil.”
Plusieurs entrepreneurs du Web3 ont récemment témoigné de tentatives similaires. Giulio Xiloyannis, cofondateur du Mon Protocol, raconte avoir reçu une invitation pour discuter d’un partenariat. “Quand j’ai vu les noms des représentants associés à Gumicryptos et Superstate, j’ai tout de suite senti que quelque chose clochait.” David Zhang, cofondateur de Stably, une stablecoin adossée à des fonds américains, a vécu une expérience comparable : l’appel était initialement prévu sur Google Meet, mais les interlocuteurs ont exigé un changement de lien au dernier moment.
