Les spécialistes du Google Threat Intelligence Group ont mis au jour cette stratégie innovante en octobre 2025. Le groupe de pirates informatiques UNC5342, rattaché au régime de Pyongyang, a franchi un nouveau cap dans l’art de la cybermalveillance. Plutôt que d’utiliser des serveurs traditionnels facilement identifiables et neutralisables, ces hackers insèrent leurs codes malicieux directement dans des contrats intelligents déployés sur les blockchains Ethereum et Binance Smart Chain. Cette approche révolutionnaire permet aux cybercriminels de bénéficier d’une infrastructure immuable et publique, rendant toute suppression du code impossible une fois celui-ci inscrit dans la chaîne de blocs.

Une infrastructure décentralisée détournée de sa vocation initiale

La technique employée repose sur l’utilisation détournée des smart contracts, ces programmes automatisés qui constituent la colonne vertébrale de la finance décentralisée. Les pirates exploitent leur capacité à stocker des données sur la blockchain pour y glisser leurs logiciels espions. Robert Wallace, chercheur chez Google, qualifie cette évolution d’« escalade du paysage des menaces » et souligne l’adoption par des acteurs étatiques de techniques rendant les malwares particulièrement difficiles à neutraliser.

Le caractère public et accessible de ces réseaux décentralisés offre paradoxalement un terrain d’action idéal. Un contrat surveillé par les chercheurs a été modifié plus d’une vingtaine de fois durant quatre mois, illustrant la facilité avec laquelle les cybercriminels peuvent adapter leur arsenal sans créer de nouvelles infrastructures. Cette flexibilité représente un défi majeur pour les forces de l’ordre et les professionnels de la cybersécurité.

Des cybercriminels nord-coréens ont développé une technique pour infiltrer des logiciels malveillants dans des réseaux blockchain, leur permettant de détourner des cryptomonnaies et de voler des données sensibles. © MTStock Studio, iStock

Un scénario d’attaque minutieusement orchestré

Le mode opératoire débute par une campagne d’hameçonnage ciblant les développeurs informatiques. Les pirates créent de fausses start-ups du secteur crypto et diffusent des offres d’emploi attrayantes sur les plateformes professionnelles. Les victimes potentielles sont invitées à des entretiens virtuels durant lesquels elles doivent réaliser un test technique nécessitant l’exécution d’un script sur leur ordinateur.

Ce script déclenche une réaction en chaîne menant au déploiement de deux malwares successifs :

• JADESNOW, qui récupère la charge malveillante depuis la blockchain.
• InvisibleFerret, un logiciel espion qui fouille l’ensemble du système infecté.
• L’extraction des mots de passe, identifiants et clés privées de portefeuilles crypto.
• La transmission des données via Telegram ou des serveurs distants.

Les informations sensibles collectées permettent aux hackers d’accéder aux actifs numériques des victimes. Cette campagne s’inscrit dans une offensive de grande ampleur : en 2025, les cybercriminels nord-coréens ont dérobé environ deux milliards de dollars en cryptomonnaies. Le groupe Lazarus, affilié au même réseau, a notamment orchestré le piratage massif de l’exchange Bybit en février 2025, confirmant la menace persistante que représente cette organisation.

L’immuabilité de la blockchain comme bouclier

L’exploitation de la blockchain comme vecteur de distribution de malwares pose un dilemme technologique fondamental. Les propriétés intrinsèques de ces réseaux décentralisés, censées garantir la transparence et la résistance à la censure, se retournent contre leurs utilisateurs légitimes. Une fois un contrat intelligent déployé contenant du code malveillant, aucune autorité ne peut le supprimer ou le modifier sans le consensus du réseau.

Cette situation révèle une vulnérabilité architecturale des écosystèmes blockchain que les acteurs malveillants n’hésitent plus à instrumentaliser pour leurs opérations criminelles à l’échelle internationale.