Les autorités nord-coréennes ont une fois de plus frappé le monde des cryptomonnaies. Un nouveau rapport post-mortem de Radiant Capital, victime d’une cyberattaque sophistiquée en octobre dernier, pointe du doigt un groupe de hackers étatiques de Corée du Nord. Grâce à des techniques d’ingénierie sociale poussées et l’utilisation d’un malware sur-mesure, ils sont parvenus à dérober l’équivalent de 50 millions de dollars en cryptoactifs.
Un piratage minutieusement préparé
Selon le rapport rédigé avec l’aide de la société de cybersécurité Mandiant, l’attaque a débuté par une prise de contact en apparence anodine sur Telegram. Un ancien collaborateur de Radiant Capital, du moins c’est ce que pensait l’équipe, a partagé un fichier PDF zippé pour recueillir des feedbacks sur un nouveau projet d’audit de smart contracts.
En réalité, ce document cachait un redoutable malware baptisé INLETDRIFT, conçu spécifiquement pour créer une porte dérobée sur les appareils macOS des développeurs ciblés. Le fichier semblait provenir d’un « acteur de la menace aligné sur la RPDC » selon Mandiant, plus précisément le groupe UNC4736 aussi connu sous le nom de Citrine Sleet.
L’ingénierie sociale, arme de prédilection des hackers
L’équipe de Radiant Capital n’y a vu que du feu. Comme le souligne le rapport, rien ne laissait présager une arnaque :
« Les demandes de révision de PDF sont courantes en milieu professionnel – avocats, auditeurs de smart contracts et partenaires partagent fréquemment des documents dans ce format »
Jouant sur la relation de confiance préexistante avec cet ex-collaborateur, les hackers ont réussi à berner plusieurs développeurs pour qu’ils ouvrent le fichier malveillant. Le malware a alors pu compromettre leurs portefeuilles matériels et exécuter des transactions frauduleuses à leur insu, en affichant de fausses informations sur l’interface.
La Corée du Nord, à nouveau pointée du doigt
Selon Mandiant, il ne fait aucun doute que la Corée du Nord est derrière cette cyberattaque, et plus précisément le Bureau général de reconnaissance du pays :
« Mandiant évalue avec une grande confiance que cette attaque est attribuable à un acteur de la menace lié à la République populaire démocratique de Corée (RPDC) »
Le groupe incriminé, UNC4736, s’était déjà fait remarquer plus tôt cette année en exploitant une vulnérabilité zero-day du navigateur Chromium pour cibler des entreprises liées aux cryptomonnaies.
Des milliards volés pour financer le programme nucléaire nord-coréen
Ce piratage n’est malheureusement pas un cas isolé. D’après un récent rapport présenté à la Cyberwarcon, les hackers nord-coréens auraient dérobé plus de 3 milliards de dollars en cryptomonnaies entre 2017 et 2023. Une manne financière colossale qui servirait à financer le controversé programme nucléaire de Pyongyang selon les autorités américaines.
Face à la multiplication et la sophistication croissante de ces attaques, les acteurs du secteur crypto sont plus que jamais appelés à renforcer leur sécurité, tant techniquement qu’humainement face au risque d’ingénierie sociale. Le piratage de Radiant Capital fait figure de tragique rappel : même les mesures de protection les plus strictes ne suffisent pas toujours face à la ruse d’un ennemi déterminé.
