Malware macOS crypto : comment les hackers nord-coréens ciblent le secteur des cryptomonnaies
Séraphine Clairlune
En 2025, plus de 22 % des incidents de cybersécurité signalés en France concernaient des systèmes macOS, selon le rapport annuel de l’ANSSI. Parmi eux, les attaques visant les entreprises du secteur des cryptomonnaies ont connu une hausse de 48 % en un an, révélant l’émergence d’un nouveau malware macOS crypto déployé par des groupes nord-coréens. Cette progression alarmante soulève des questions cruciales sur les vecteurs d’infection, les familles de logiciels malveillants utilisées et les mesures de défense à mettre en place.
Chaîne d’infection - du contact initial à la compromission complète
Vectorisation via Telegram et Calendly
Les acteurs malveillants initient le contact via le service de messagerie Telegram, usurpant souvent le compte d’un dirigeant d’entreprise. Après avoir établi un climat de confiance, ils envoient un lien Calendly qui redirige la victime vers une page Zoom factice hébergée sur leur infrastructure. Cette technique, appelée ClickFix, combine ingénierie sociale et manipulation visuelle pour inciter l’utilisateur à exécuter des commandes.
Exploitation de deepfakes et de vidéos AI-générées
Une fois la réunion virtuelle lancée, les hackers projettent une vidéo deepfake d’un CEO du secteur crypto. Le faux appel crée l’illusion d’un problème audio, poussant la cible à suivre les instructions affichées sur une page web. Les commandes proposées, compatibles macOS et Windows, déclenchent l’installation du malware macOS crypto.
Activation du script AppleScript et déploiement du binaire Mach-O
Le premier vecteur exécute un script AppleScript qui télécharge un binaire Mach-O malveillant. Ce fichier, souvent chiffré avec RC4, initialise la chaîne de chargement des sept familles de malware identifiées par Mandiant. Chaque famille possède un rôle précis, de la persistance à l’exfiltration de données.
“Le volume de logiciels malveillants déployés contre une seule cible est exceptionnel et indique une volonté de collecte exhaustive d’informations” - Chercheur Mandiant, 2026.
Familles de malware macOS détectées
| Famille | Langage | Fonction principale | Méthode de persistance |
|---|---|---|---|
| WAVESHAPER | C++ | Backdoor daemon, collecte d’informations système | Launch Daemon via plist |
| HYPERCALL | Go | Downloader, lecture de config RC4, connexion WebSocket | Aucun (stage 1) |
| HIDDENCALL | Go | Backdoor injecté, accès clavier, exécution de commandes | Injection dynamique via HYPERCALL |
| SILENCELIFT | C/C++ | Beaconing, interruption de Telegram, statut écran | Launch Daemon |
| DEEPBREATH | Swift | Mineur de données, modification du TCC, vol de Keychain | Persisté via launch agent |
| SUGARLOADER | C++ | Downloader RC4, création de launch daemon | Launch Daemon |
| CHROMEPUSH | C++ | Miner de données Chromium, faux extension Google Docs | Enregistrement comme Native Messaging Host |
Les trois familles les plus détectées sur VirusTotal sont SUGARLOADER, WAVESHAPER, et CHROMEPUSH, tandis que DEEPBREATH et SILENCELIFT restent peu répertoriées, ce qui complique leur détection.
Analyse des capacités de chaque famille
- WAVESHAPER : fonctionne en arrière-plan, communique via HTTP/HTTPS avec
curl. Idéal pour le téléchargement de payloads additionnels. - HYPERCALL : utilise des WebSockets sur le port TCP 443, rendant le trafic difficile à distinguer du trafic légitime HTTPS.
- DEEPBREATH : contourne les protections Transparency, Consent and Control (TCC) de macOS en modifiant la base de données TCC, ouvrant un accès quasi-total au système de fichiers.
Techniques de social engineering exploitées
- Usurpation d’identité sur Telegram - la victime reçoit un message provenant d’un compte compromis d’un cadre.
- Calendly & Zoom spoofing - la page de réunion falsifiée reproduit exactement l’interface Zoom, trompant l’utilisateur.
- Deepfake vidéo - la technologie AI génère une vidéo réaliste d’un dirigeant, renforçant la crédibilité de la demande.
- Manipulation audio - le faux problème audio incite la cible à suivre les instructions de dépannage, ouvrant la porte à l’exécution de commandes.
“Le recours à des vidéos deepfake marque une évolution notable dans la chaîne d’ingénierie sociale, rendant la détection par simple observation beaucoup plus difficile” - Analyste cybersécurité, 2026.
Mise en œuvre - mesures de détection et de réponse
Étape 1 - Surveillance du trafic réseau et des processus
# Exemple de règle Suricata pour détecter les connexions WebSocket suspectes sur macOS
alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"Possible HYPERCALL WebSocket"; flow:to_server; content:"GET /"; http_header; content:"Upgrade: websocket"; nocase; sid:1000010; rev:1;)
Cette règle permet de repérer les tentatives de connexion WebSocket typiques de HYPERCALL.
Étape 2 - Analyse des fichiers plist et des launch agents
- Rechercher les fichiers
~/Library/LaunchAgents/*.plistcontenant des chemins inhabituels ou des exécutables non signés. - Utiliser la commande
launchctl listpour identifier les services inconnus.
Étape 3 - Isolation et investigation des incidents
- Isolation immédiate de la machine suspectée du réseau interne.
- Capture de la mémoire avec
osxpmempour analyser les processus en cours. - Examen des journaux
/var/log/system.logà la recherche d’appels àcurlou de connexions sortantes inhabituelles.
Étape 4 - Remédiation et renforcement
- Réinitialisation du TCC via la commande
tccutil reset Allpour annuler les modifications malveillantes. - Rotation des clés SSH et API de la plateforme crypto, conformément aux exigences du RGPD et de la norme ISO 27001.
- Mise à jour du système et des applications, en veillant à activer les mises à jour automatiques d’Apple.
Checklist de conformité (ANSSI 2025)
- Activation du CIS Benchmarks pour macOS.
- Implémentation du Zero Trust au niveau des accès réseau.
- Choisir le meilleur service de protection DDoS en 2026
- Vérification du chiffrement complet du disque (FileVault).
- Audits trimestriels des comptes privilégiés.
- Guide complet 2026 des salons cybersécurité en France
Analyse du risque et recommandations stratégiques
Le profil d’attaque montre une combinaison rare de social engineering avancé et de malware macOS spécialisé. Les organisations du secteur crypto doivent donc adapter leurs stratégies de défense.
Recommandations clés
- Formation continue des équipes sur les dernières techniques de deepfake et de phishing ciblé.
- Déploiement de solutions EDR compatibles macOS, capables d’analyser les comportements des processus en temps réel.
- Segmentation du réseau afin de limiter les mouvements latéraux en cas de compromission.
- Surveillance des comptes Telegram liés aux dirigeants, avec authentification à deux facteurs obligatoire.
- Intégration des alertes threat-intel provenant de sources fiables comme Mandiant, FireEye et les bulletins de l’ANSSI.
Conclusion - prochaine action avec avis tranché
Face à l’escalade du malware macOS crypto orchestré par le groupe UNC1069, il ne suffit plus de se reposer sur les protections classiques. La défense doit devenir proactive, en combinant surveillance réseau, analyses comportementales et formation ciblée. Nous recommandons aux responsables de la sécurité d’implémenter immédiatement les étapes de détection présentées, de réviser leurs politiques d’accès aux plateformes de messagerie et de renforcer la visibilité sur les processus macOS. En agissant dès aujourd’hui, vous réduirez significativement le risque de vol de cryptomonnaies et protégerez la réputation de votre organisation.