Mandiant et Google Cloud ont signalé un groupe lié à la Corée du Nord, UNC1069, utilisant des deepfakes, des comptes Telegram compromis et des invitations de calendrier Zoom falsifiées pour tromper le personnel des cryptomonnaies et de la fintech. Les intrusions déploient des logiciels malveillants en plusieurs étapes et collectent des identifiants ainsi que des données de navigateurs et de portefeuilles.

L’enquête de Mandiant, appuyée par la télémétrie de Google Cloud, attribue une campagne sophistiquée à UNC1069 qui mêle des vidéos deepfake générées par IA de dirigeants de confiance à des identités Telegram compromises et à des invitations calendaires Zoom usurpées. Des cibles dans des environnements crypto et fintech sont socialement ingénierées pour exécuter des soi-disant commandes de dépannage qui installent des malwares multi-étapes capables de capturer les sessions de navigateur, les données de portefeuille et les identifiants. Les chercheurs ont observé sept familles de malwares distinctes lors d’une seule intrusion, ce qui indique un outillage étendu et des opérations modulaires conçues pour le vol massif d’identifiants et de fonds. Les acteurs ont développé des capacités accrues pour échapper à la détection et automatiser l’exfiltration de données, augmentant le risque pour les plateformes centralisées, les prestataires de conservation et les traders institutionnels. Mandiant alerte les défenseurs sur la nécessité de traiter les invitations à des réunions basées sur le calendrier et la vidéo avec scepticisme, d’implémenter des protections multi-facteurs, d’isoler les flux de travail de dépannage et d’appliquer une détection des menaces au niveau des points de terminaison adaptée aux nouvelles chaînes d’exécution. Le cas met en lumière la convergence de l’IA générative, de la compromission d’identité et des malwares traditionnels de vol d’identifiants comme une menace croissante pour le secteur crypto mondial.