Vol de Cryptomonnaie par la Corée du Nord
La Corée du Nord a volé 2,84 milliards de dollars en cryptomonnaie depuis janvier 2024, selon un nouveau rapport de l’équipe de surveillance des sanctions multilatérales (MSMT). Cette équipe est responsable de la surveillance des violations des sanctions de l’ONU contre la République populaire démocratique de Corée (RPDC). Le rapport indique également que la RPDC a dérobé « au moins » 1,65 milliard de dollars entre janvier et septembre de cette année. Une grande partie de ces fonds provient du piratage de Bybit en février.
Travail à Distance et Violations des Sanctions
La MSMT, qui inclut des pays comme les États-Unis, le Japon, l’Allemagne, la France, le Canada, l’Australie et d’autres nations occidentales, rapporte également que la Corée du Nord a élargi son utilisation du travail à distance en informatique.
Le déploiement de travailleurs informatiques à l’international viole les résolutions 2375 et 2397 du Conseil de sécurité de l’ONU, qui interdisent l’emploi de travailleurs nord-coréens. Cependant, cela n’a pas empêché la RPDC de participer aux marchés du travail d’au moins huit pays, notamment la Chine, la Russie, le Laos, le Cambodge, la Guinée équatoriale, la Guinée, le Nigeria et la Tanzanie.
Le rapport détaille que entre 1 000 et 1 500 travailleurs de la RPDC étaient basés en Chine, et que Pyongyang prévoyait d’envoyer jusqu’à 40 000 travailleurs en Russie.
Menaces Cybernétiques et Réponses
Bien que la MSMT conclue que la force cybernétique de la Corée du Nord est « un programme national à spectre complet opérant à un niveau de sophistication approchant les programmes cybernétiques de la Chine et de la Russie », les contributeurs à son rapport témoignent également que les agences et entreprises occidentales s’adaptent de plus en plus à cette menace.
« Bien que les hackers liés à la Corée du Nord représentent une menace significative, la capacité des forces de l’ordre, des agences de sécurité nationale et du secteur privé à identifier les risques associés et à riposter augmente », a déclaré Andrew Fierman, responsable du renseignement en sécurité nationale chez Chainalysis.
S’exprimant auprès de Decrypt, Fierman a donné un exemple d’août, lorsque le Bureau américain de contrôle des avoirs étrangers (OFAC) a sanctionné un réseau de travailleurs informatiques frauduleux lié à la RPDC. Il a expliqué :
« Ces acteurs ont été désignés pour leur implication dans des schémas qui canalisent les revenus dérivés des travailleurs informatiques de la RPDC pour soutenir les programmes d’armement de destruction massive et de missiles balistiques de la RPDC. »
Fierman a également noté que des dizaines de millions de dollars en cryptomonnaie ont été récupérés suite au piratage de Bybit en février, tandis que Decrypt rapportait en juin qu’une partie des fonds avait été retracée jusqu’à un échange de cryptomonnaie grec.
Collaboration et Prévention
« Le secteur privé identifie plus efficacement les menaces des travailleurs informatiques de la RPDC, comme l’ont récemment prouvé les efforts de Kraken en mai 2025 », a ajouté Fierman. En août, le directeur de la sécurité de Binance a déclaré à Decrypt que l’échange écartait quotidiennement les CV des attaquants nord-coréens cherchant à être embauchés par l’entreprise.
La capacité d’identifier et de contrecarrer les activités nord-coréennes est d’une importance considérable, car, comme le rapport et Fierman le soulignent, les fonds générés par les activités de la RPDC sont généralement siphonnés vers son programme d’armement.
« Le rapport de la MSMT détaille comment ces fonds sont utilisés pour se procurer tout, des véhicules blindés aux systèmes de missiles de défense aérienne portables », a déclaré Fierman.
« Pendant ce temps, les opérations d’espionnage cybernétique de la RPDC ciblent des industries critiques, y compris les semi-conducteurs, le traitement de l’uranium et la technologie des missiles, créant une boucle de rétroaction dangereuse entre leurs crimes financiers et leurs capacités militaires. »
Face à de telles menaces, Fierman a recommandé une collaboration accrue entre les entités publiques et privées, une nécessité soulignée par le rapport de la MSMT, qui implique Chainalysis, Mandiant de Google Cloud, DTEX, Palo Alto Networks, Upwork et Sekoia.io.
« Les initiatives de partage de données, les avis gouvernementaux, les solutions de sécurité en temps réel, les outils de traçage avancés et la formation ciblée peuvent permettre aux parties prenantes d’identifier rapidement et de neutraliser les acteurs malveillants tout en construisant la résilience nécessaire pour protéger les actifs en cryptomonnaie. »
En utilisant l’intelligence blockchain et des mesures de cybersécurité traditionnelles, les parties affectées seront en mesure d’identifier et de geler les fonds volés avant qu’ils ne soient blanchis, tout en cartographiant les réseaux financiers de la Corée du Nord. Sur cette base, Fierman et Chainalysis recommandent aux organisations « de mettre en œuvre une surveillance blockchain complète, de développer une diligence raisonnable améliorée pour l’embauche de contractants informatiques, de déployer des systèmes avancés de détection des menaces, de maintenir des audits de sécurité réguliers et d’établir des protocoles clairs pour les grandes transactions.
