"Une escalade dans le paysage des menaces": la Corée du Nord déploie des tactiques de piratage via la blockchain

La blockchain a toutes les sauces? C'était il y a quelques années. Mais elle revient, avec une nouvelle saveur, qui pourrait bien être amère... Des pirates informatiques nord-coréens ont adopté une méthode très ingénieuse pour voler des cryptomonnaies et des informations personnelles.

Ils commencent par envoyer de fausses offres d’emploi à des développeurs et autres professionnels. Quand la victime télécharge le fichier pour “passer le test technique”, elle installe sans le savoir un logiciel espion. Et c'est là que les hackers nord-coréens font dans la nouveauté. D'une part, ils utilisent une technique appelée EtherHiding, et décrite pour la première fois en 2023. D'autre part, ils sont, a priori, les premiers hackers étatiques à utiliser cette technique.

Dans les faits, le malware téléchargé est caché dans ce qu’on appelle un "contrat intelligent" sur la blockchain. Les contrats intelligents sont des programmes informatiques, dits autonomes, car ils s'exécutent automatiquement quand une condition est remplie, sans que l'intervention d'un tiers soit nécessaire. Par exemple, vous achetez un billet, fournissez la somme demandée, le billet est émis instantanément.

Le contrat intelligent est enregistré dans la blockchain, ce qui le rend immunable et transparent, et rend difficile sa traçabilité. Imaginez le contrat intelligent comme un coffre: les pirates malintentionnés y stockent un virus, qu'ils peuvent mettre à jour, tout en restant presque invisibles et très difficiles à arrêter. Car, de par le fonctionnement même de la blockchain, il est extrêmement difficile de supprimer un élément, aussi néfaste soit-il.

De manière bien plus traditionnelle, une fois installé sur l’ordinateur de la victime, le logiciel espion peut voler des mots de passe, des informations bancaires, des cartes de crédit, et surtout des portefeuilles de cryptomonnaies comme MetaMask ou Phantom. Il envoie ensuite toutes ces informations aux pirates, qui peuvent les utiliser pour voler de l’argent ou espionner la victime.

"Une escalade dans le paysage des menaces"

Cette nouvelle tactique, révélée par les chercheurs du Google Threat Intelligence Group (GTIG), inquiète les spécialistes. Les chercheurs en cybersécurité soulignent que cette méthode est très nouvelle et sophistiquée, car elle utilise "plusieurs blockchains en même temps", rendant les attaques plus difficiles à suivre.

"Ce développement signe une escalade dans le paysage des menaces: des acteurs étatiques recourent désormais à des techniques inédites pour diffuser des malwares difficiles à neutraliser par les forces de l’ordre et aisément adaptables à de nouvelles campagnes", explique Robert Wallace l’un des chercheurs de Google à l’origine de la découverte.

Les pirates peuvent aussi modifier facilement leur logiciel, changer sa configuration et continuer à voler des données sans se faire repérer. La stratégie nord-coréenne de cyberattaques contre les détenteurs de cryptomonnaies n’est cependant pas nouvelle. Fin 2024, le FBI alertait déjà sur les stratagèmes sophistiqués du "Lazarus Group", à qui l’on attribuait le vol record de 1,5 milliard de dollars en actifs numériques.

Des fausses annonces sur Linkedin ou Telegram

Après plusieurs attaques majeures, le groupe nord-coréen Lazarus reste une cible difficile à neutraliser. Actif depuis 2009, il s’est fait connaître en 2014 avec l’attaque de Sony Pictures, puis en 2016 avec le vol de 81 millions de dollars à la banque centrale du Bangladesh, planifié sur un an. Son nom, inspiré du personnage biblique Lazare, fait référence à la résistance de ses virus, réputés particulièrement difficiles à éliminer.

Aujourd’hui, les pirates utilisent un modus operandi inédit, consistant à approcher des professionnels via Linkedin ou Telegram avec de fausses offres d’emploi et en utilisant la blockchain. Les victimes sont invitées à enregistrer une vidéo sur un site inconnu, pensant répondre à un test technique, et certains se font alors voler immédiatement des fonds numériques, illustrant la dangerosité et la subtilité de ces campagnes. Un moyen aussi pour le pays, isolé diplomatiquement, de faire rentrer des capitaux frais.