Augmentation de 51 % des hackers nord-coréens ! Vols annuels de 2 milliards de dollars, réseau de blanchiment d'argent en chinois dévoilé

Le dernier rapport de Chainalysis montre que le volume de vols de cryptomonnaies dans le monde entier en 2025 sera d’environ 3,4 milliards de dollars, dont au moins 20,2 milliards proviennent d’attaques liées à la Corée du Nord, soit une augmentation de 51 % par rapport à 2024 (une augmentation d’environ 6,81 milliards de dollars), un record élevé. Les hackers nord-coréens représentent 76 % de tous les incidents de piratage et ont volé jusqu’à présent au moins 67,5 milliards de dollars en cryptomonnaies.

Les hackers nord-coréens dominent 76 % du vol de cryptomonnaies à l’échelle mondiale

(Source : Chainalysis)

2025 a été la pire année depuis que la Corée du Nord a lancé sa campagne de vol de cryptomonnaies, les attaques associées représentant 76 % de tous les incidents de piratage, un record record. Cette proportion est extrêmement stupéfiante, ce qui signifie que 3 vols de cryptomonnaies sur 4 dans le monde sont liés à la Corée du Nord. Cette domination n’est pas accidentelle, mais résulte d’investissements à long terme et d’accumulation technologique par la cybersécurité nord-coréenne au niveau de l’État.

Les 20,2 milliards de dollars de gains illicites revêtent une importance stratégique pour la Corée du Nord. Selon des estimations internationales, le PIB annuel de la Corée du Nord est d’environ 200 à 300 milliards de dollars, ce qui signifie que les hackers volent de l’argent équivalent à 6 à 10 % de son PIB. Le vol de cryptomonnaies est devenu l’une des principales sources de devises étrangères de la Corée du Nord après que les sanctions de l’ONU ont coupé la plupart de ses canaux commerciaux habituels, utilisés pour soutenir ses programmes d’armes nucléaires et de missiles balistiques.

Le taux de croissance annuel de 51 % indique que les capacités des hackers nord-coréens augmentent rapidement. Cette amélioration se reflète non seulement au niveau technique, mais aussi dans la sophistication des stratégies d’attaque. Des débuts des attaques brutales de phishing à l’ingénierie sociale à plusieurs étapes d’aujourd’hui, à l’infiltration dans la chaîne d’approvisionnement et à l’implantation d’initiés, les hackers nord-coréens ont développé une méthodologie d’attaque mature.

Données sur les attaques de hackers nord-coréens en 2025

Montant total volé: 20,2 milliards de dollars, représentant 76 % du vol mondial de cryptomonnaies, soit une augmentation de 51 % par rapport à 2024

Vol cumulatif d’antécédents: 67,5 milliards de dollars, soit une moyenne d’environ 8,4 milliards de dollars par an de 2017 à aujourd’hui

Cas unique le plus grand: Les grandes bourses CEX de 15 milliards de dollars, représentant 74 % du vol total de la Corée du Nord en 2025

On pense largement que Lazarus Group entretient des liens étroits avec le Bureau général de reconnaissance (RGB) de Pyongyang, générant plus de 200 millions de dollars de recettes illicites grâce à au moins 25 vols de cryptomonnaies rien qu’entre 2020 et 2023. Le groupe lance des cyberattaques contre des institutions financières et des plateformes de cryptomonnaies depuis plus de dix ans et est soupçonné d’avoir participé au vol d’environ 36 millions de dollars d’actifs d’Upbit, la plus grande plateforme d’échange de cryptomonnaies de Corée du Sud, le mois dernier.

La stratégie d’événements et de pénétration à deux lignes des plateformes centralisées des plateformes centralisées

Selon le rapport, le piratage de la bourse CEX en février de cette année a été la plus grande attaque unique en Corée du Nord, causant environ 1,5 milliard de dollars de pertes. L’incident a été attribué à un groupe menaçant connu sous le nom de Traîtres Marchands, également appelé Grésil de Jade ou Poissons Lentes. La société de sécurité Hudson Rock a ensuite souligné qu’un ordinateur infecté par le malware Lumma Stealer était lié à l’infrastructure utilisée dans l’attaque.

Les méthodes d’attaque du piratage CEX sont extrêmement sophistiquées. Les hackers n’ont pas attaqué directement le système de portefeuille froid de la plateforme, mais ont infiltré les employés de la plateforme via l’ingénierie sociale pour accéder aux systèmes internes. Une fois à l’intérieur du réseau interne, les hackers se déplacent latéralement vers des systèmes critiques et finissent par accéder à la gestion des clés privées. Cette chaîne d’attaques comporte plusieurs étapes, chacune nécessitant une compétence et une patience très spécialisées.

En plus de pirater directement les plateformes d’échange, les hackers nord-coréens mènent également depuis longtemps des attaques d’ingénierie sociale appelées « Opération Dream Job ». Ils utilisent des plateformes comme LinkedIn et WhatsApp pour se faire passer pour des recruteurs et utilisent des offres d’emploi bien rémunérées comme appât pour atteindre des professionnels de la défense, de la technologie, de l’aviation et de la fabrication afin d’attirer des cibles à télécharger et exécuter des malwares pour voler des données sensibles ou établir des canaux d’infiltration à long terme.

Une autre stratégie est l’opération dite « Wagemole ». Le personnel nord-coréen postule à des postes en technologies de l’information dans des entreprises étrangères sous de fausses identités, ou infiltre des entreprises via des sociétés écrans pour accéder à des systèmes et des services de chiffrement, lançant ainsi des attaques à fort impact. Chainalysis a souligné que cette méthode peut accélérer les déplacements latéraux et la vitesse d’accès initiale des hackers avant un vol à grande échelle, ce qui pourrait être l’une des raisons importantes du nombre record de pertes cette année.

Le département de la Justice des États-Unis a annoncé qu’un homme de 40 ans dans le Maryland a été condamné pour avoir aidé du personnel nord-coréen à se faire passer pour leur identité afin de s’engager dans des travaux informatiques. L’enquête a révélé que le prévenu a permis à des citoyens nord-coréens vivant à Shenyang, en Chine, d’utiliser son identité pour travailler pour diverses entreprises et agences gouvernementales américaines, recevant près d’un million de dollars de compensation entre 2021 et 2024. Cette affaire révèle le mode d’opération réel de Wagemole.

Transfert de fonds en trois étapes du réseau chinois de blanchiment d’argent

En ce qui concerne la gestion des fonds, les crypto-actifs volés sont généralement transférés via un processus structuré de blanchiment d’argent en plusieurs étapes. Le rapport souligne que les hackers nord-coréens utilisent le Service professionnel de blanchiment d’argent en chinois (service professionnel chinois de blanchiment d’argent) et le commerce OTC (trading de gré), indiquant une relation étroite avec les réseaux financiers clandestins de la région sinophone.

La première étape utilisait des protocoles financiers décentralisés et des services de mixage de devises pour détourner rapidement les fonds quelques jours après l’attaque. L’objectif de cette étape est de rompre rapidement l’association directe des fonds volés avec l’adresse d’origine. Les hackers divisent de grosses sommes d’argent en milliers de petits transferts, réalisant des transferts multi-sauts via des mixeurs comme Tornado Cash et plusieurs protocoles DeFi, rendant la difficulté de suivi exponentiellement plus élevée.

La seconde phase sera initialement intégrée via des centraux, des ponts inter-chaînes et des services de mixage secondaire. Les fonds sont transférés d’Ethereum vers d’autres chaînes comme BSC, Tron, et d’autres, tirant parti de la complexité du pontage inter-chaînes pour obscurcir davantage les chemins de suivi. Certains fonds sont transférés vers des plateformes d’échange plus petites qui supportent un KYC plus faible, convertis en autres cryptomonnaies ou stablecoins.

Enfin, en environ 20 à 45 jours, les fonds sont échangés contre de la monnaie fiduciaire ou d’autres actifs. Cette étape est la plus critique et la plus dangereuse, car pour que les cryptomonnaies deviennent monnaie fiduciaire utilisable, elles doivent être en contact avec le système financier traditionnel. Les hackers nord-coréens comptent principalement sur des commerçants OTC et des banques clandestines dans la région sinophone, qui fournissent de grandes quantités de services d’échange de cryptomonnaies et transfèrent finalement des fonds vers des comptes contrôlés par la Corée du Nord via un réseau complexe de banques.

Le haut degré de lien avec le « système chinois » a suscité des inquiétudes parmi les autorités judiciaires américaines. Cela suggère que certains réseaux financiers clandestins en Chine continentale, à Hong Kong, à Taïwan ou dans la communauté chinoise d’Asie du Sud-Est fournissent des services essentiels de blanchiment d’argent à la Corée du Nord. La complexité de ce réseau criminel transnational rend extrêmement difficile pour les forces de l’ordre de les localiser et de les séprendre.

Les experts en sécurité de l’information avertissent que les menaces liées à la Corée du Nord ajustent constamment leurs tactiques, passant de l’intrusion directe dans les systèmes à des méthodes d’infiltration plus secrètes et indétectables ainsi qu’à l’abus des plateformes. Avec la popularité des cryptomonnaies et du télétravail, les risques associés devraient continuer à augmenter, devenant un défi majeur pour la protection de l’information réglementaire et des entreprises dans de nombreux pays.