A l’occasion du sommet annuel de Kaspersky (Security Analyst Summit) en Thaïlande, son équipe mondiale de recherche et d’analyse (GReAT) est revenue sur les dernières activités du groupe APT BlueNoroff à travers l’étude de deux campagnes malveillantes hautement ciblées : « GhostCall » et « GhostHire ». Ces opérations, toujours en cours, visent principalement des entreprises du secteur Web3 et des cryptomonnaies en Inde, Turquie, Australie, ainsi que dans plusieurs pays européens et asiatiques, et sont actives depuis au moins avril 2025.
BlueNoroff, sous-groupe du célèbre collectif nord-coréen Lazarus, poursuit l’expansion de sa campagne à visée financière « SnatchCrypto », qui cible l’industrie des cryptomonnaies à l’échelle mondiale. Les nouvelles campagnes GhostCall et GhostHire reposent sur des techniques d’infiltration inédites et des malwares conçus sur mesure pour compromettre des développeurs blockchain et des dirigeants d’entreprises. Elles se déploient à la fois sur les systèmes macOS et Windows, gérés via une infrastructure de commande et de contrôle unifiée.
La campagne GhostCall cible spécifiquement les appareils macOS et débute par une attaque d’ingénierie sociale sophistiquée. Les cybercriminels contactent leurs victimes sur Telegram, en se faisant passer pour des investisseurs en capital-risque. Dans certains cas, ils utilisent même les comptes compromis de véritables entrepreneurs pour proposer de fausses opportunités de partenariat ou d’investissement. Les victimes sont ensuite invitées à participer à de fausses réunions d’investisseurs sur des sites de phishing imitant Zoom ou Microsoft Teams, où elles sont incitées à mettre leur application à jour pour résoudre un prétendu problème audio. Cette action déclenche le téléchargement d’un script malveillant et l’installation du malware.
« Cette nouvelle campagne de BlueNoroff repose sur un procédé fallacieux méticuleusement préparé. Les attaquants ont rejoué les vidéos d’anciennes victimes lors de fausses réunions pour donner l’impression d’un véritable rendez-vous et et convaincre les nouvelles cibles de l’authenticité de la démarche. Les données collectées ont ensuite servi à mener d’autres attaques, notamment à la chaîne d’approvisionnement, en exploitant les liens de confiance déjà établis », explique Sojun Ryu, chercheur en cybersécurité au sein du GReAT de Kaspersky.
Les attaquants ont déployé sept chaînes d’exécution multi-étapes, dont quatre jamais observées auparavant, afin de diffuser plusieurs charges malveillantes personnalisées : des crypto-stealers, des stealers d’identifiants de navigateurs, d’identifiants Telegram, etc
La campagne GhostHire vise pour sa part les développeurs blockchain, en se faisant passer pour des recruteurs. Les victimes sont invitées à télécharger un dépôt GitHub présenté comme un test de compétences, qui contient en réalité un malware. Cette opération partage son infrastructure et ses outils avec GhostCall, mais s’appuie sur une approche différente, en utilisant l'argument du recrutement pour leurre. Une fois le premier contact établi, les victimes rejoignent un bot Telegram qui leur envoie un fichier ZIP ou un lien GitHub, expirant rapidement pour renforcer la pression. Après exécution, le malware s’installe automatiquement sur l’appareil, en s’adaptant au système d’exploitation de la victime
L’usage de l’intelligence artificielle générative a permis à BlueNoroff d’accélérer le développement de ses malwares et d’affiner ses stratégies. Les cybercriminels ont intégré de nouveaux langages de programmation et ajouté des fonctionnalités inédites, rendant la détection et l’analyse plus difficiles. Cette automatisation leur permet d’étendre leurs opérations, en augmentant la complexité et l’ampleur des attaques.
« Depuis ses précédentes campagnes, la stratégie de BlueNoroff dépasse largement le simple vol de cryptomonnaies ou d’identifiants. L’usage de l’IA générative a considérablement accéléré leur processus, facilitant la création de malwares et le ciblage précis des victimes. En combinant les données compromises avec les capacités d’analyse de l’IA, ces attaques gagnent en ampleur et en efficacité », commente Omar Amin, chercheur principal en sécurité au GReAT de Kaspersky.
Pour plus d’informations, ainsi que la liste complète des indicateurs de compromission (IoC), consultez le rapport complet sur Securelist.
