Je viens de me mettre à jour avec des nouvelles crypto sérieuses qui méritent toute notre attention. L'équipe Mandiant de Google Cloud vient de publier un rapport sur une opération de piratage assez sophistiquée liée à la Corée du Nord, qui cible activement les entreprises de cryptomonnaie et de fintech. Ils appellent ce groupe de menaces UNC1069, et honnêtement, le niveau de coordination ici est alarmant.

Ce qui m'a frappé, c'est la façon dont ils ont intensifié leur jeu depuis que Mandiant a commencé à les suivre en 2018. On parle de sept familles de logiciels malveillants différentes déployées dans des attaques coordonnées pour voler des données sensibles. Les noms à eux seuls indiquent qu'il s'agit d'outils conçus spécifiquement : SILENCELIFT, DEEPBREATH, et CHROMEPUSH sont les nouvelles additions à leur arsenal.

La partie ingénierie sociale est ce qui ressort vraiment pour moi. Ils n'utilisent plus simplement le phishing standard. Ces gars exploitent des comptes Telegram compromis et organisent de fausses réunions Zoom avec des vidéos deepfake générées par IA pour tromper les victimes et leur faire exécuter des commandes cachées. C'est ce que les chercheurs en sécurité appellent des attaques ClickFix, et c'est étonnamment efficace.

Deux des nouvelles variantes de logiciels malveillants, CHROMEPUSH et DEEPBREATH, sont spécifiquement conçues pour contourner les protections critiques du système d'exploitation et extraire des données personnelles. Donc, si vous êtes dans l'espace crypto, que vous gériez une plateforme d'échange, une plateforme fintech ou des actifs numériques, c'est vraiment quelque chose que votre équipe de sécurité doit connaître.

Ce genre de nouvelles crypto rappelle que le paysage des menaces ne cesse d’évoluer. La cible des entreprises crypto montre clairement que ces acteurs savent où se trouve la valeur et qu'ils investissent des ressources sérieuses pour pénétrer. À prendre très au sérieux si vous travaillez dans l'industrie.