Les hackers nord-coréens dévalisent un record de 2 milliards de dollars en cryptomonnaies en 2025, mode de blanchiment d'argent dévoilé en 45 jours

Chainalysis, la société d’analyse de la blockchain, a publié un rapport révélant que des hackers liés à la Corée du Nord ont volé au moins 2 milliards de dollars de cryptomonnaies en 2025, établissant un record historique avec une augmentation de 51 % par rapport à l’année précédente, portant leur total de vols à 6,75 milliards de dollars. Leurs modes d’attaque présentent un profil « peu nombreux mais précis » : malgré une baisse du nombre d’incidents, la taille des attaques individuelles est énorme, avec 76 % des attaques au niveau des services attribuées à leurs opérations, notamment l’incident de vulnérabilité de 1,4 milliard de dollars sur Bybit en mars, qui en est le principal moteur.

Le rapport dresse pour la première fois une cartographie systématique du parcours de blanchiment d’argent unique des hackers nord-coréens : ils s’appuient sur des fournisseurs de services en chinois et des mixers, suivant un cycle de nettoyage de fonds typique de 45 jours. Cela indique que l’industrie des cryptomonnaies fait face à une « super-menace » soutenue par l’État, hautement organisée et dotée de ressources importantes, posant des défis sans précédent à la sécurité, la conformité et la coopération entre échanges et protocoles à l’échelle mondiale.

La taille des vols atteint un nouveau sommet : du « filet large » à la « chasse précise »

En 2025, le domaine des vols de cryptomonnaies connaît un tournant inquiétant : le total mondial de fonds volés atteint 3,4 milliards de dollars, dont près des deux tiers sont attribués à une seule entité — un groupe de hackers lié au gouvernement nord-coréen. Selon le rapport autorisé de Chainalysis, ces hackers ont volé au moins 2,02 milliards de dollars en 2025, soit une hausse de 51 % par rapport à 2024, et près de 6,7 fois le niveau de 2020. Plus important encore, ce record a été atteint dans un contexte où le nombre d’incidents connus a fortement diminué, illustrant une évolution tactique : ils sont passés d’attaques fréquentes à des opérations chirurgicales ciblant des objectifs de grande valeur.

Ce mode « peu nombreux mais puissants » se reflète dans les données. Le rapport indique que les hackers nord-coréens ont été responsables de 76 % des incidents d’intrusion au niveau des services en 2025, un record historique. Par « niveau de service », il faut entendre principalement les échanges centralisés (CEX), les plateformes de garde et autres plateformes détenant d’importants actifs utilisateurs. L’événement le plus emblématique reste l’attaque de 1,4 milliard de dollars sur Bybit en mars 2025, qui a représenté la majorité du total annuel volé par ces hackers. Andrew Fierman, responsable du renseignement en sécurité nationale chez Chainalysis, analyse : « Cette évolution s’inscrit dans une tendance de longue date. Les hackers nord-coréens ont toujours montré une grande complexité, et leurs actions en 2025 illustrent leur capacité à faire évoluer continuellement leurs tactiques et leurs cibles. » Cela indique que les attaquants cherchent à maximiser leur rapport risque/rendement en concentrant leurs ressources sur une seule cible susceptible de leur offrir un retour disruptif.

Ce changement pose une menace structurelle à l’écosystème crypto. Lorsqu’ils ciblent des plateformes de services essentielles et systémiques, leur succès ne se limite pas à des pertes financières importantes : il peut aussi gravement éroder la confiance du marché, provoquer une crise de confiance en chaîne et attirer une surveillance réglementaire accrue. Contrairement aux petits vols sur des portefeuilles individuels, ces attaques remettent en cause l’infrastructure même du secteur.

Le blanchiment automatisé : décryptage d’un processus de 45 jours

Voler n’est que la première étape ; la véritable clé du cycle est de blanchir et de convertir ces fonds « sales » en argent liquide. Un autre apport central du rapport de Chainalysis est la cartographie claire du mode de blanchiment hautement spécialisé et mécanisé des groupes nord-coréens, qui diffère nettement de celui des criminels classiques.

D’abord, en termes de stratégie de transfert de fonds, ils font preuve d’une forte conscience anti-détection. Ils préfèrent diviser leurs grosses sommes en lots inférieurs à 50 000 dollars pour les transférer sur la chaîne, plus de 60 % des transferts étant ainsi contrôlés. En comparaison, les hackers non liés à l’État privilégient souvent des transferts massifs de plusieurs millions ou dizaines de millions de dollars. Cette technique de « fractionnement » augmente considérablement la complexité et le coût de la traçabilité sur la chaîne, témoignant d’une sécurité opérationnelle (OPSEC) de plus en plus sophistiquée.

Ensuite, en termes de choix de services, leur préférence révèle une dépendance géographique et des contraintes spécifiques. Les hackers nord-coréens utilisent massivement des services garantis en chinois, des courtiers et des réseaux OTC, et dépendent fortement des ponts inter-chaînes et des mixers (comme Tornado Cash) pour brouiller la traçabilité des fonds. Fait intéressant, ils évitent presque totalement les protocoles DeFi de prêt ou les DEX, couramment utilisés par d’autres criminels. Chainalysis indique que ces modes d’opération montrent que ces acteurs sont soumis à des contraintes différentes et sont profondément liés à des réseaux de services illégaux spécifiques à la région Asie-Pacifique, probablement en raison de leur isolement du système financier mondial.

Le processus de blanchiment de 45 jours des hackers nord-coréens

Phase 1 : Confusion rapide (jours 0-5)

• Objectif principal : couper immédiatement le lien entre les fonds volés et l’adresse source.
• Outils principaux : mixers, protocoles DeFi (pour une conversion rapide des types d’actifs).
• But : créer une première barrière à la traçabilité, gagner du temps pour les opérations suivantes.

Phase 2 : Intégration et diffusion (jours 6-20)

• Objectif principal : intégrer les fonds dans un écosystème plus large pour préparer leur liquidation.
• Outils principaux : échanges centralisés avec faible KYC, ponts inter-chaînes, services de mixing secondaires.
• But : transférer entre différentes chaînes, différents actifs et plateformes, brouiller davantage la traçabilité, et commencer à toucher des voies de sortie potentielles.

Phase 3 : Liquidation finale (jours 21-45)

• Objectif principal : convertir les cryptos en monnaie fiat ou autres formes difficilement traçables.
• Outils principaux : échanges sans KYC, plateformes d’échange instantané, services OTC en chinois, puis réintégration dans des CEX légitimes pour combiner flux légaux et illicites.
• But : achever le processus de blanchiment, réaliser la valeur économique du vol.

Révolution tactique : l’IA et l’« infiltration interne » comme nouvelles armes

Pour réaliser de tels vols massifs et un blanchiment efficace, les méthodes traditionnelles ne suffisent plus. Le rapport de Chainalysis et les indices du secteur indiquent que les hackers nord-coréens pourraient mener une « révolution tactique » dans deux domaines, leur conférant un avantage asymétrique.

D’abord, l’application intensive de l’intelligence artificielle (IA). Fierman explique : « La Corée du Nord utilise l’IA comme une « super-puissance » dans ses opérations de hacking, notamment dans le blanchiment. » Il précise : « La cohérence et la fluidité dans le processus de nettoyage des fonds indiquent l’usage de l’IA. La mécanique structurée du processus, combinée à l’utilisation de mixers, protocoles DeFi et ponts inter-chaînes… pour voler autant de cryptomonnaies efficacement, la Corée du Nord doit disposer d’un vaste réseau de blanchiment et d’un mécanisme fluide, ce qui pourrait être rendu possible par l’IA. » L’IA peut automatiser la génération et le changement d’adresses, optimiser les chemins de transaction pour éviter la détection, voire simuler un comportement normal pour se fondre dans la masse des échanges, rendant la défense plus difficile.

Ensuite, une nouvelle dimension d’« infiltration interne » par des attaques de type « personnel infiltré ». Le rapport indique que des hackers nord-coréens infiltrent des postes techniques dans des sociétés de cryptomonnaies (exchanges, custodians, entreprises Web3) pour obtenir des accès privilégiés. En juillet, le chercheur ZachXBT a révélé que des personnes liées à la Corée du Nord pourraient avoir infiltré entre 345 et 920 postes dans l’industrie crypto mondiale. Ces attaques « Trojan horse » peuvent déstabiliser la sécurité interne la plus solide, ouvrant la voie à de vastes transferts de fonds. De plus, ils se font passer pour des employeurs ou des contacts du secteur, utilisant des vidéos de conférence falsifiées pour du spear-phishing, ayant déjà permis de voler plus de 300 millions de dollars cette année. La combinaison de ces méthodes oblige à faire face non seulement à des vulnérabilités techniques, mais aussi à des failles humaines et de confiance.

Perspectives 2026 : le défi ultime de la coopération sectorielle

Face à un adversaire disposant de ressources étatiques, en constante évolution et sans scrupules, le secteur des cryptomonnaies devra passer un test de sécurité ultime en 2026. Le rapport de Chainalysis met en garde : étant donné que la Corée du Nord dépend de plus en plus du vol de cryptomonnaies pour financer ses priorités nationales et contourner les sanctions internationales, il faut comprendre que cette menace a une logique et des contraintes radicalement différentes de celles des cybercriminels classiques.

Les vecteurs d’attaque futurs seront probablement plus diversifiés. Si les grandes plateformes centralisées comme Bybit ou Upbit restent des cibles de choix, des protocoles DeFi de longue date (comme Balancer ou Yearn, mentionnés dans le rapport) pourraient aussi devenir des cibles. Fierman insiste : « Bien que nous ne puissions pas prévoir précisément ce qui se passera en 2026, nous savons que la Corée du Nord cherchera à maximiser ses retours — cela implique que les services disposant de réserves importantes doivent maintenir des standards de sécurité très élevés pour ne pas devenir la prochaine faille. »

Pour faire face à ce défi, la seule action d’une organisation isolée ne suffit plus. Le rapport appelle à la mise en place d’un mécanisme de réponse rapide et coordonnée à l’échelle de l’industrie. Fierman conclut : « La Corée du Nord applique une stratégie de blanchiment rapide et efficace. Il faut donc une réponse tout aussi rapide et collective. Les autorités, les échanges, et les sociétés d’analyse blockchain doivent coopérer efficacement, en interceptant tout flux passant par des stablecoins ou des échanges pouvant être gelés immédiatement. » Cela inclut le partage en temps réel de renseignements, le blocage conjoint d’adresses suspectes, et une collaboration judiciaire renforcée avec les autorités mondiales.

Pour les investisseurs, ce rapport constitue un rappel de risque fort : le danger de conserver de grandes quantités d’actifs sur des plateformes centralisées (même les plus grandes) augmente systématiquement. Utiliser un portefeuille matériel, diversifier ses actifs, et rester extrêmement vigilant face à toute communication non vérifiée deviennent des habitudes de sécurité indispensables. En 2026, la lutte entre les cryptomonnaies et les hackers d’État sera encore plus féroce.