Vols de Cryptomonnaie par la Corée du Nord en 2025
Des hackers de la République populaire démocratique de Corée, également connue sous le nom de DPRK ou Corée du Nord, ont volé 2,02 milliards de dollars en cryptomonnaie jusqu’à présent en 2025, selon un rapport de Chainalysis publié jeudi. Cela représente une augmentation de 51 % par rapport au chiffre de l’année précédente et constitue la plus grande année enregistrée pour le vol de cryptomonnaie lié à la DPRK.
Dans l’ensemble, la cryptomonnaie a subi 3,4 milliards de dollars de vols cette année, ce qui signifie que les attaques de la DPRK représentent 59 % de ces fonds volés. Chainalysis estime que ces données montrent une « évolution » de la part de la Corée du Nord, qui commence à commettre moins d’attaques, mais inflige des dégâts significativement plus importants à chaque opération.
L’attaque de 1,5 milliard de dollars contre Bybit en février, que le FBI a liée à la DPRK, en est un exemple clé.
« Pour l’industrie de la cryptomonnaie, cette évolution exige une vigilance accrue autour des cibles de grande valeur et une amélioration de la détection des schémas spécifiques de blanchiment d’argent de la DPRK », indique le rapport. « Leurs préférences constantes pour certains types de services et montants de transfert offrent des opportunités de détection, les distinguant des autres criminels, et peuvent aider les enquêteurs à identifier leur empreinte comportementale sur la chaîne. »
Schémas de Blanchiment et Techniques des Hackers
Chainalysis affirme avoir identifié un schéma de blanchiment distinct en trois vagues, d’une durée de 45 jours, que les attaquants de la DPRK suivent généralement. Les indicateurs incluent :
- Utilisation de services en langue chinoise
- Une forte dépendance à l’égard des actifs de pont entre les chaînes pour brouiller le suivi
- Une utilisation accrue des services de mélange de cryptomonnaie
Ce schéma, selon le rapport, a persisté au cours des dernières années. Chainalysis n’a pas répondu à la demande de Decrypt concernant la manière dont les analystes savent que ces attaques proviennent de la DPRK et non d’autres groupes.
De plus en plus, les attaques proviennent d’acteurs malveillants engagés par des entreprises de cryptomonnaie. L’attaquant travaille ensuite pour obtenir un accès privilégié avant de voler des informations ou des fonds importants.
Binance a déclaré à Decrypt cet été que des hackers nord-coréens tentent d’être engagés par la grande bourse centralisée chaque jour.
Jimmy Su, directeur de la sécurité de Binance, a expliqué que les attaquants peuvent même utiliser des vidéos en direct générées par IA et des modificateurs de voix lors des appels dans une tentative d’être engagés. La bourse a identifié plusieurs signes révélateurs communs aux attaquants de la DPRK et partage ces informations avec d’autres bourses de cryptomonnaie via Telegram et Signal.
Menaces et Réponses de l’Industrie
En outre, des hackers nord-coréens ont été trouvés en train de contaminer des paquets NPM, des bibliothèques de code public régulièrement utilisées, pour infiltrer des projets. Encore une fois, Binance a reconnu cette menace et affirme que ses développeurs sont contraints de passer chaque bibliothèque de code au peigne fin.
« Alors que la Corée du Nord continue d’utiliser le vol de cryptomonnaie pour financer les priorités de l’État et contourner les sanctions internationales, l’industrie doit reconnaître que cet acteur de menace opère selon des règles différentes de celles des cybercriminels typiques », a déclaré le rapport de Chainalysis.
« La performance record de la Corée du Nord en 2025 – réalisée avec 74 % d’attaques connues en moins – suggère que nous ne voyons peut-être que la partie la plus visible de ses activités. »
« Le défi pour 2026 sera de détecter et de prévenir ces opérations à fort impact avant que les acteurs affiliés à la DPRK n’infligent un autre incident à l’échelle de Bybit », a-t-il conclu.
