Le groupe nord-coréen UNC1069 a piégé un employé de Zerion avec de l'ingénierie sociale assistée par IA, vidant 100 000 $ de wallets internes.
En bref
- Zerion, wallet crypto populaire, a confirmé une compromission interne ayant entraîné le vol d'environ 100 000 $ sur ses hot wallets corporate.
- L'attaque est attribuée au groupe UNC1069, lié à la Corée du Nord, qui a utilisé de l'ingénierie sociale augmentée par IA pour piéger un employé.
- Aucun fonds utilisateur n'a été touché, mais l'incident confirme la montée en puissance de l'IA offensive chez les acteurs étatiques.
Ce qui s'est passé
Zerion, fournisseur d'un wallet DeFi agrégé utilisé par plusieurs millions d'adresses, a rendu public entre les 14 et 17 avril 2026 un incident de sécurité touchant un de ses employés. D'après les détails publiés par l'équipe Zerion et repris par Cointelegraph et CryptoTimes, les attaquants ont compromis les sessions, identifiants et clés privées associés aux wallets internes de l'entreprise, avant de drainer environ 100 000 $ de fonds corporate. L'application web a été temporairement désactivée le temps des investigations et de la rotation des secrets.
L'équipe SEAL, spécialisée dans le tracking des acteurs nord-coréens, a relié l'opération au groupe UNC1069. Entre février et avril 2026, SEAL a suivi et bloqué 164 domaines associés à ce cluster de la République populaire démocratique de Corée, lequel conduit des campagnes d'ingénierie sociale « longues et à faible pression » sur plusieurs semaines via Telegram, LinkedIn et Slack. La spécificité de la campagne Zerion : l'usage documenté de modèles IA pour industrialiser les personas fictifs, générer des dialogues convaincants et adapter le discours en temps réel aux réponses de la cible.
Zerion insiste sur le fait que son infrastructure core et ses applications sont restées intactes, et qu'aucun fonds utilisateur n'a été affecté. Les wallets touchés étaient des hot wallets internes utilisés pour les opérations de l'entreprise. L'incident s'inscrit dans une série noire pour les acteurs crypto : la fausse application Ledger Live sur l'App Store, qui a drainé 9,5 M$ début avril, en est un autre exemple récent.
Pourquoi c'est important
L'attaque Zerion est un marqueur : pour la première fois documentée publiquement à cette échelle, un État utilise l'IA générative non pas pour créer un malware plus rapide, mais pour industrialiser la partie humaine de la kill chain. Les campagnes d'ingénierie sociale multi-semaines sur LinkedIn et Telegram, historiquement l'apanage de quelques opérateurs très qualifiés, deviennent scalables. Le rapport coût/rendement pour l'attaquant s'effondre, et la détection devient plus difficile : les indicateurs linguistiques sur lesquels reposent les programmes de sensibilisation (fautes d'orthographe, tournures maladroites) disparaissent.
Pour les entreprises crypto et fintech, l'incident rappelle que la séparation entre comptes de production et wallets opérationnels reste la barrière de dernier recours. Pour toutes les autres organisations, le signal est qu'il faut revoir les procédures de validation des transferts sensibles : une conversation crédible sur Slack ou Telegram, fût-elle continue sur plusieurs semaines, ne suffit plus à attester de l'identité de l'interlocuteur. Le passage à une validation out-of-band systématique pour tout mouvement de fonds ou de droits d'accès devient non négociable.
Ce qu'il faut retenir
- UNC1069, lié à la Corée du Nord, combine désormais IA générative et campagnes longues de social engineering pour frapper les employés.
- Zerion confirme que seuls les wallets internes ont été vidés (100 000 $), mais l'incident démontre la faisabilité à grande échelle.
- Valider toute transaction sensible via un canal out-of-band distinct : la crédibilité textuelle d'un interlocuteur n'est plus un gage d'authenticité.
Comment détecter une campagne d'ingénierie sociale augmentée par IA ?
Les signaux classiques (fautes, tournures) disparaissent. Il faut s'appuyer sur la cohérence identitaire (photo, activité réelle, anciens collègues vérifiables), sur la pression temporelle imposée et sur la nature des demandes (accès privilégiés, signatures de transactions). La règle pratique : toute demande sensible doit être confirmée via un canal différent de celui d'origine.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Claude Mythos : Anthropic bride son modèle le plus puissant
Anthropic ouvre un accès restreint à Claude Mythos via Project Glasswing : le modèle a découvert seul des zero-days vieux de 27 ans en test.
Cisco ISE et Webex : 4 failles critiques CVSS jusqu'à 9.9
Cisco corrige en bloc quatre vulnérabilités critiques dans ISE et Webex : bypass SSO complet et RCE non authentifiée sur l'OS sous-jacent.
Axios npm piraté : Sapphire Sleet cible 100 M downloads
Un mainteneur npm compromis, 100 M de téléchargements hebdomadaires en jeu : le paquet Axios a diffusé un RAT attribué à Sapphire Sleet.
Commentaires (1)
Laisser un commentaire