Des hackers nord-coréens repoussent les limites : utiliser la Blockchain pour contrôler les malwares et voler du Crypto

Selon de nouvelles découvertes de Cisco Talos et du Google Threat Intelligence Group (GTIG), des groupes de hackers liés à l'État nord-coréen étendent leurs capacités avec des outils décentralisés basés sur la blockchain qui leur permettent de cacher des malware, d'éviter la détection et d'infiltrer des cibles dans le monde entier. Ces campagnes cybernétiques se concentrent principalement sur le vol de cryptomonnaies, la violation des réseaux d'entreprise et la réalisation d'escroqueries sophistiquées d'ingénierie sociale — en particulier des fausses offres d'emploi conçues pour tromper les victimes afin qu'elles installent des logiciels malveillants.

Malware évolutif : BeaverTail et OtterCookie apprennent de nouvelles astuces Les chercheurs de Cisco Talos ont lié les dernières attaques au groupe nord-coréen Famous Chollima, connu pour ses opérations de cyberespionnage et de vol de crypto-monnaies de longue date.

Les analystes ont identifié deux familles de malware complémentaires — BeaverTail et OtterCookie — qui ont évolué d'outils traditionnels de vol d'identifiants en systèmes modulaires et interopérables capables d'adaptation dynamique. Dans un incident ciblant une organisation sri-lankaise, des attaquants ont attiré des candidats à des emplois à télécharger un malware déguisé en partie d'une évaluation technique.

L'infection comprenait un module d'enregistrement de touches et de capture d'écran, enregistrant silencieusement les frappes au clavier et l'activité du bureau avant de transmettre les données à un serveur de commande distant. Les experts disent que cela reflète un changement plus large : les hackers nord-coréens ciblent de plus en plus les personnes, et non les systèmes, combinant manipulation psychologique et outils cybernétiques avancés.

La blockchain en tant que nouvelle infrastructure de commandement Au lieu de s'appuyer sur des serveurs de commande centralisés traditionnels, les attaquants utilisent désormais la blockchain comme un réseau de contrôle décentralisé (C2). L'équipe GTIG de Google a découvert une campagne menée par le groupe UNC5342 lié à la Corée du Nord, qui a déployé une nouvelle souche de malware nommée EtherHiding. Ce programme stocke des charges utiles JavaScript malveillantes directement sur la blockchain publique Ethereum, la transformant en un système de commande et de contrôle décentralisé et pratiquement inarrêtable. En utilisant la blockchain, les hackers peuvent modifier à distance le comportement des malwares sans avoir besoin de serveurs d'hébergement, rendant les démantèlements par les forces de l'ordre beaucoup plus difficiles.

GTIG a rapporté qu'EtherHiding a été utilisé dans la campagne “Contagious Interview” — d'abord identifiée par Palo Alto Networks — qui visait des professionnels dans les industries de la crypto et de la cybersécurité.

Offres d'emploi frauduleuses comme principal vecteur d'attaque Selon les recherches de Google, ces opérations cybernétiques commencent généralement par de faux messages de recrutement visant les développeurs de crypto-monnaies, les ingénieurs blockchain et les professionnels de la cybersécurité.

Les victimes sont invitées à compléter un “test technique”, qui installe secrètement du code malveillant sur leurs appareils. La chaîne d'infection implique souvent plusieurs familles de malware, y compris JadeSnow, BeaverTail et InvisibleFerret — des outils conçus pour voler des identifiants, déployer des ransomwares et mener des activités d'espionnage à long terme. L'objectif final : accéder aux systèmes internes, aux portefeuilles de crypto-monnaies et aux données stratégiques de l'entreprise.

Cisco et Google publient des indicateurs de compromission Les deux entreprises ont publié des Indicateurs de Compromis (IOCs) pour aider les organisations à détecter et à répondre à l'activité en cours liée à la Corée du Nord.

Ces rapports techniques incluent des hachages, des domaines et des adresses IP qui peuvent être intégrés dans des systèmes de sécurité pour une défense proactive. Les experts avertissent que l'intégration de la blockchain dans l'infrastructure de malware marque un tournant dans la cyberguerre mondiale. « La décentralisation devient une épée à double tranchant — un outil de liberté et une arme pour les cybercriminels », note le rapport GTIG.

Résumé Les acteurs menaçants nord-coréens redéfinissent les cyberattaques modernes grâce à un mélange de technologie blockchain, d'ingénierie sociale et de frameworks de malware modulaires.

En utilisant des réseaux décentralisés pour le contrôle des malware, ils créent des systèmes d'attaque résilients et introuvables qui défient les modèles traditionnels de cybersécurité. Les analystes exhortent les entreprises des secteurs technologique et crypto à être prudentes dans leurs processus de recrutement et à mettre à jour leurs défenses contre ces nouvelles menaces adaptatives.

#northkorea , #AlerteHacker , #CyberSecurity , #cryptohacks , #CryptoNews

Restez un pas en avant – suivez notre profil et restez informé sur tout ce qui est important dans le monde des cryptomonnaies ! Avis : ,Les informations et les opinions présentées dans cet article sont uniquement destinées à des fins éducatives et ne doivent pas être considérées comme des conseils en investissement dans quelque situation que ce soit. Le contenu de ces pages ne doit pas être considéré comme des conseils financiers, d'investissement ou de toute autre forme de conseil. Nous avertissons que l'investissement dans les cryptomonnaies peut être risqué et peut entraîner des pertes financières.“