Une nouvelle vague de crypto-malwares balaie le monde des actifs numériques, et cette fois-ci, les acteurs sont plus sages et plus polyvalents que jamais. À l’avant-garde de la nouvelle vague se trouvent Librarian Ghouls, un groupe de (APT) de menaces persistantes avancées axé sur la Russie, et Crocodilus, un voleur multiplateforme dont les racines remontent aux chevaux de Troie bancaires Android.
« La dernière campagne des Ghouls Bibliothécaires utilise des logiciels légitimes comme AnyDesk pour dissimuler des mineurs de crypto-monnaies et des enregistreurs de touches. Une fois qu'ils sont à l'intérieur, ils restent silencieux—jusqu'à minuit. »
— Kaspersky Threat Intelligence ( 9 juin 2025 )
Ghouls Bibliothécaires : Le Malware « Légitime »
Ce groupe APT déguise les attaques en documents de routine (, par exemple, des orders) de paiement dans des e-mails de phishing. Une fois ouverts, leurs logiciels malveillants :
Installe 4t Tray Minimizer pour cacher les processus malveillants.
Déploie AnyDesk pour l'accès à distance et XMRig pour miner Monero.
Vol de l'identifiant du portefeuille crypto et des clés de registre.
Nouveau en 2025 : Activation de minuit — le malware s'exécute uniquement la nuit pour éviter la détection.
Leur attaque n'est pas simplement un vol par la force brute — au contraire, ils combinent l'expertise technique avec la coercition psychologique, frappant à chaque étape du cycle crypto.
Les goules bibliothécaires ont également optimisé leur chargeur pour se faire passer pour des applications professionnelles légitimes, implantant souvent leurs logiciels malveillants dans ce qui semble être des documents inoffensifs comme des ordres de paiement ou des factures. Lorsque la victime exécute ensuite le fichier, les installateurs de logiciels malveillants installent discrètement des programmes tels que 4t Tray Minimizer pour couvrir ses traces et AnyDesk pour le contrôle à distance.
Mais ce qui est le plus unique à propos de ce groupe, c'est qu'il utilise des déclencheurs basés sur le temps : le malware ne s'active que la nuit, ce qui réduit les chances de détection par les équipes de sécurité pendant les heures de travail. Il le fait en utilisant une stratégie nocturne qui lui permet de voler des identifiants de portefeuille, de miner du Monero avec XMRig et d'exfiltrer des données sensibles sans être détecté.
Les victimes peuvent même ne pas réaliser qu'il y a un problème avant des semaines plus tard, lorsque leurs portefeuilles ont généralement été vidés et que leurs systèmes sont compromis au-delà d'une simple restauration.
Crocodilus : Le Collecteur de Seed-Phrase
Initialement un cheval de Troie bancaire turc, Crocodilus cible désormais les utilisateurs de crypto-monnaies du monde entier via :
Applications fausses se faisant passer pour Coinbase, MetaMask, ou des outils de minage.
Collecteurs de phrases mnémoniques automatisés qui scannent les appareils à la recherche de données de portefeuille.
Ingénierie sociale via de faux contacts « Support bancaire » dans votre téléphone.
“Le nouveau parseur de Crocodilus extrait les phrases de récupération avec une précision chirurgicale. Un clic sur un lien X faux, et votre portefeuille est parti.”
— Équipe MTI de ThreatFabric ( 3 juin 2025 )
Crocodilus, en revanche, a rapidement évolué d'une menace régionale à une menace mondiale. Ne se limitant plus à Android, il cible désormais les extensions de navigateur malveillantes, les applications de bureau clonées, et même les bots Telegram pour étendre sa portée. La caractéristique la plus mortelle du malware est sa capacité à voler les phrases de récupération à partir des données du presse-papiers, des captures d'écran et des données de remplissage automatique, parfois même avant que la victime ne soit consciente d'être ciblée.
Les acteurs de la menace ont commencé à offrir l’accès aux portefeuilles compromis à vendre sur les forums du darknet, établissant ainsi un marché noir florissant pour les actifs de crypto-monnaie volés qui augmente en taille et en complexité. Parfois, Crocodilus spamme même d’innocents numéros d’assistance sur les téléphones des victimes, incitant les utilisateurs à fournir des informations sensibles sous couvert d’assistance technique.
Liens X Fakes : Maintenant avec des Deepfakes en Temps Réel
Les hackers exploitent X (Twitter) avec :
Comptes vérifiés détournés promouvant des airdrops frauduleux.
QR codes liant à des contrats intelligents drainant des portefeuilles.
Chats de soutien deepfake IA qui imitent de vrais agents.
En mai 2025, un livestream deepfake « Elon Musk » a exhorté les téléspectateurs à scanner un code QR pour un cadeau « TeslaCoin ». Les victimes ont perdu plus de 200 000 $ en 30 minutes.
Une des tendances les plus menaçantes est le développement de chats de soutien deepfake en temps réel. Les hackers utilisent des avatars affectés par l'IA pour imiter des marques ou des influenceurs reconnus sur X (Twitter), offrant une "aide" authentique et interactive qui attire les victimes à partager leur phrase de récupération ou leur clé privée.
Les deepfakes sont si convaincants que même les utilisateurs de crypto expérimentés se sont fait prendre, les avatars imitant la voix, le ton et même le langage corporel de figures reconnues dans la communauté.
Dans l'un des cas les plus notables, un live stream deepfake "Elon Musk" sur X a annoncé un faux giveaway de TeslaCoin et a entraîné des pertes de plusieurs centaines de milliers de dollars en quelques minutes.
Conseils OPSEC : Comment rester en sécurité
Du Guide 2025 de Quillaudits :
| Action | Pourquoi c'est important |
| --- | --- |
| Utilisez un appareil dédié | Isolez l'activité crypto de la navigation quotidienne |
| Révoquer les approbations | Le malware ne peut pas vider les portefeuilles que vous avez verrouillés |
| Évitez le Wi-Fi public | Crocodilus prospère sur les réseaux non sécurisés |
| Vérifiez les liens X hors ligne | Les escroqueries deepfake disparaissent lors de la vérification croisée |
Pour se protéger contre de telles menaces, les utilisateurs devront adopter une approche OPSEC multi-couches. Les experts recommandent d'utiliser des portefeuilles matériels pour les investissements de grande valeur, d'activer l'authentification à deux facteurs et de ne jamais partager les phrases de récupération — même pas avec le personnel de support présumé ou des comptes sociaux légitimes.
Des vérifications régulières des approbations de portefeuille, le maintien des logiciels à jour et la séparation des opérations cryptographiques sur des appareils à usage unique peuvent également réduire les risques. À mesure que les attaquants deviennent de plus en plus innovants et inventifs, la meilleure défense est de rester bien informé et d'être suffisamment sceptique.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Pouvez-vous faire confiance à la sécurité de votre Crypto pendant que vous dormez ?
Une nouvelle vague de crypto-malwares balaie le monde des actifs numériques, et cette fois-ci, les acteurs sont plus sages et plus polyvalents que jamais. À l’avant-garde de la nouvelle vague se trouvent Librarian Ghouls, un groupe de (APT) de menaces persistantes avancées axé sur la Russie, et Crocodilus, un voleur multiplateforme dont les racines remontent aux chevaux de Troie bancaires Android.
Ghouls Bibliothécaires : Le Malware « Légitime »
Ce groupe APT déguise les attaques en documents de routine (, par exemple, des orders) de paiement dans des e-mails de phishing. Une fois ouverts, leurs logiciels malveillants :
Nouveau en 2025 : Activation de minuit — le malware s'exécute uniquement la nuit pour éviter la détection.
Leur attaque n'est pas simplement un vol par la force brute — au contraire, ils combinent l'expertise technique avec la coercition psychologique, frappant à chaque étape du cycle crypto.
Les goules bibliothécaires ont également optimisé leur chargeur pour se faire passer pour des applications professionnelles légitimes, implantant souvent leurs logiciels malveillants dans ce qui semble être des documents inoffensifs comme des ordres de paiement ou des factures. Lorsque la victime exécute ensuite le fichier, les installateurs de logiciels malveillants installent discrètement des programmes tels que 4t Tray Minimizer pour couvrir ses traces et AnyDesk pour le contrôle à distance.
Mais ce qui est le plus unique à propos de ce groupe, c'est qu'il utilise des déclencheurs basés sur le temps : le malware ne s'active que la nuit, ce qui réduit les chances de détection par les équipes de sécurité pendant les heures de travail. Il le fait en utilisant une stratégie nocturne qui lui permet de voler des identifiants de portefeuille, de miner du Monero avec XMRig et d'exfiltrer des données sensibles sans être détecté.
Les victimes peuvent même ne pas réaliser qu'il y a un problème avant des semaines plus tard, lorsque leurs portefeuilles ont généralement été vidés et que leurs systèmes sont compromis au-delà d'une simple restauration.
Crocodilus : Le Collecteur de Seed-Phrase
Initialement un cheval de Troie bancaire turc, Crocodilus cible désormais les utilisateurs de crypto-monnaies du monde entier via :
Crocodilus, en revanche, a rapidement évolué d'une menace régionale à une menace mondiale. Ne se limitant plus à Android, il cible désormais les extensions de navigateur malveillantes, les applications de bureau clonées, et même les bots Telegram pour étendre sa portée. La caractéristique la plus mortelle du malware est sa capacité à voler les phrases de récupération à partir des données du presse-papiers, des captures d'écran et des données de remplissage automatique, parfois même avant que la victime ne soit consciente d'être ciblée.
Les acteurs de la menace ont commencé à offrir l’accès aux portefeuilles compromis à vendre sur les forums du darknet, établissant ainsi un marché noir florissant pour les actifs de crypto-monnaie volés qui augmente en taille et en complexité. Parfois, Crocodilus spamme même d’innocents numéros d’assistance sur les téléphones des victimes, incitant les utilisateurs à fournir des informations sensibles sous couvert d’assistance technique.
Liens X Fakes : Maintenant avec des Deepfakes en Temps Réel
Les hackers exploitent X (Twitter) avec :
En mai 2025, un livestream deepfake « Elon Musk » a exhorté les téléspectateurs à scanner un code QR pour un cadeau « TeslaCoin ». Les victimes ont perdu plus de 200 000 $ en 30 minutes.
Une des tendances les plus menaçantes est le développement de chats de soutien deepfake en temps réel. Les hackers utilisent des avatars affectés par l'IA pour imiter des marques ou des influenceurs reconnus sur X (Twitter), offrant une "aide" authentique et interactive qui attire les victimes à partager leur phrase de récupération ou leur clé privée.
Les deepfakes sont si convaincants que même les utilisateurs de crypto expérimentés se sont fait prendre, les avatars imitant la voix, le ton et même le langage corporel de figures reconnues dans la communauté.
Dans l'un des cas les plus notables, un live stream deepfake "Elon Musk" sur X a annoncé un faux giveaway de TeslaCoin et a entraîné des pertes de plusieurs centaines de milliers de dollars en quelques minutes.
Conseils OPSEC : Comment rester en sécurité
Du Guide 2025 de Quillaudits :
| Action | Pourquoi c'est important | | --- | --- | | Utilisez un appareil dédié | Isolez l'activité crypto de la navigation quotidienne | | Révoquer les approbations | Le malware ne peut pas vider les portefeuilles que vous avez verrouillés | | Évitez le Wi-Fi public | Crocodilus prospère sur les réseaux non sécurisés | | Vérifiez les liens X hors ligne | Les escroqueries deepfake disparaissent lors de la vérification croisée |
Pour se protéger contre de telles menaces, les utilisateurs devront adopter une approche OPSEC multi-couches. Les experts recommandent d'utiliser des portefeuilles matériels pour les investissements de grande valeur, d'activer l'authentification à deux facteurs et de ne jamais partager les phrases de récupération — même pas avec le personnel de support présumé ou des comptes sociaux légitimes.
Des vérifications régulières des approbations de portefeuille, le maintien des logiciels à jour et la séparation des opérations cryptographiques sur des appareils à usage unique peuvent également réduire les risques. À mesure que les attaquants deviennent de plus en plus innovants et inventifs, la meilleure défense est de rester bien informé et d'être suffisamment sceptique.