En bref

  • Des opérateurs nord-coréens se font passer pour des insiders crypto et envoient des invitations Calendly piégées à leurs cibles.
  • Le clic sur l'invitation déploie un voleur de portefeuilles compatible Windows et macOS.
  • Les équipes blockchain et investisseurs early-stage sont les principales cibles, avec une recrudescence observée le 27 avril 2026.

Ce qui s'est passé

Plusieurs équipes de threat intelligence ont rapporté le 27 avril 2026 une nouvelle campagne attribuée à des groupes nord-coréens, déjà connus pour leur ciblage soutenu du secteur cryptomonnaies. Le mode opératoire repose sur une couche d'ingénierie sociale soignée : l'attaquant ouvre une conversation avec un développeur, un fondateur ou un investisseur en se présentant comme un insider — recruteur d'un fonds, contributor d'un protocole en vue, ou journaliste spécialisé. Après quelques échanges crédibles, il propose un appel et envoie une invitation Calendly. La page de prise de rendez-vous redirige vers un installeur déguisé en client de visioconférence ou en outil de signature. Une fois exécuté, le binaire installe un voleur multiplateforme qui cible les portefeuilles bureau, les extensions de navigateur Metamask et Phantom, les cookies de session des plateformes d'échange et les fichiers de configuration des CLI Solana et Ethereum. Les souches Windows et macOS partagent la même logique de collecte ; seuls les chemins et techniques de persistance diffèrent.

L'abus de Calendly est central pour passer les contrôles classiques : la marque est légitime, l'URL est en HTTPS, et la cible est psychologiquement engagée par la promesse d'un rendez-vous concret. Les détections naïves basées sur la réputation du domaine échouent ; il faut analyser la chaîne complète, jusqu'au binaire téléchargé.

Pourquoi c'est important

Le segment crypto reste l'une des sources de financement principales du régime nord-coréen, avec des centaines de millions de dollars détournés chaque année. Pour les équipes de sécurité d'écosystèmes Web3 ou de fonds spécialisés, cette campagne ajoute une variante crédible aux schémas déjà documentés dans le ciblage des développeurs crypto via VS Code et complète les techniques décrites par les analyses de l'ingénierie sociale Zerion attribuée à la Corée du Nord. Côté défense, le vecteur ressemble fortement à ce que l'on observe dans les chaînes ClickFix dans le navigateur et l'Infinity Stealer ClickFix sous macOS : un déclencheur humain, un domaine de confiance, un stealer bien tenu. La couverture EDR reste indispensable, mais la priorité est de former les équipes exposées (BizDev, recrutement, communication crypto) à la reconnaissance des invitations contextuelles à risque.

Ce qu'il faut retenir

  • Considérez toute invitation Calendly émise après quelques messages comme un point de pivot potentiel ; ne suivez pas les redirections vers un téléchargement.
  • Bloquez l'exécution d'installeurs non signés sur les postes des équipes en contact externe (BizDev, RH, communication).
  • Faites tourner régulièrement les seed phrases et déconnectez les portefeuilles bureautiques des comptes professionnels exposés à la prospection externe.

Comment distinguer une invitation Calendly légitime d'une piégée ?

Une invitation Calendly authentique vous redirige uniquement vers la page de réservation, jamais vers un installeur. Si la confirmation propose un téléchargement de "client visio", "module de signature" ou "extension nécessaire", il s'agit d'un piège. Vérifiez aussi le domaine exact : les attaquants utilisent souvent des sous-domaines proches de calendly.com ou des liens raccourcis qui obscurcissent la destination finale.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact