La Corée du Nord et le financement de son armée par le hacking
La Corée du Nord s’appuie sur des groupes de hackers soutenus par l’État, tels que Lazarus, pour financer son armée. Les crypto-monnaies volées représentent près d’un tiers de ses revenus en devises étrangères, fournissant un flux de trésorerie illicite constant, immunisé contre les sanctions traditionnelles.
Dans un rapport publié le 22 octobre, l’équipe de surveillance des sanctions multilatérales a déclaré qu’entre janvier 2024 et septembre 2025, des acteurs nord-coréens avaient orchestré des vols de crypto-monnaies totalisant au moins 2,8 milliards de dollars.
La majeure partie du butin provient d’incidents majeurs, notamment l’exploitation de Bybit en février 2025, qui à elle seule représentait environ la moitié du total. Le rapport attribue ces exploits à des acteurs menaçants nord-coréens familiers utilisant des méthodes sophistiquées d’ingénierie sociale, de compromission de portefeuilles et de chaîne d’approvisionnement.
Les groupes de hackers et leurs méthodes
Les opérations de crypto-monnaies de la Corée du Nord s’articulent autour d’un écosystème restreint de groupes de hackers liés à l’État, parmi lesquels Lazarus, Kimsuky, TraderTraitor et Andariel, dont les empreintes digitales apparaissent dans presque toutes les violations majeures d’actifs numériques au cours des deux dernières années.
Selon les analystes en cybersécurité, ces équipes opèrent sous le Bureau général de reconnaissance, le principal organe de renseignement de Pyongyang, coordonnant des attaques qui imitent l’efficacité du secteur privé. Leur principale innovation a été de contourner complètement les échanges, ciblant plutôt les fournisseurs de garde d’actifs numériques tiers que les échanges utilisent pour le stockage sécurisé.
En compromettant l’infrastructure d’entreprises comme Safe(Wallet), Ginco et Liminal Custody, les acteurs nord-coréens ont obtenu une clé maîtresse pour piller des fonds auprès de clients tels que Bybit, DMM Bitcoin du Japon et WazirX d’Inde.
L’attaque contre DMM Bitcoin, qui a entraîné une perte de 308 millions de dollars et la fermeture éventuelle de l’échange, a été initiée des mois plus tôt lorsqu’un acteur de TraderTraitor, se faisant passer pour un recruteur sur LinkedIn, a trompé un employé de Ginco pour qu’il ouvre un fichier malveillant déguisé en test pré-entretien.
Les conséquences des vols de crypto-monnaies
D’autres groupes soutenus par l’État opèrent en concert avec cet effort principal. Le collectif CryptoCore, bien que moins sophistiqué, mène des opérations d’ingénierie sociale à fort volume, se faisant passer pour des recruteurs et des dirigeants d’entreprise afin d’infiltrer des cibles. Pendant ce temps, Citrine Sleet a développé une réputation pour le déploiement de logiciels de trading de crypto-monnaies trojanisés.
Dans un incident détaillé d’octobre 2024, un acteur de Citrine Sleet, se faisant passer pour un ancien entrepreneur de confiance sur Telegram, a livré un fichier ZIP malveillant à un développeur de Radiant Capital, entraînant un vol de 50 millions de dollars.
Une fois volés, les actifs numériques entrent dans un processus complexe de blanchiment en neuf étapes conçu pour obscurcir leur origine et les convertir en monnaie fiduciaire utilisable. Les acteurs cybernétiques de la RPDC échangent systématiquement des jetons volés contre des crypto-monnaies établies comme Ethereum ou Bitcoin, puis utilisent une suite de services de mélange, y compris Tornado Cash et Wasabi Wallet.
Ils exploitent ensuite des ponts inter-chaînes et des agrégateurs comme THORChain et LI.FI pour sauter entre les blockchains, convertissant souvent les actifs mélangés en USDT basé sur Tron pour les préparer à un retrait.
Cette campagne incessante de vol numérique a des conséquences réelles et graves. Les milliards siphonnés de l’écosystème crypto ne disparaissent pas dans un vide bureaucratique.
Le rapport de la MSMT conclut que ce flux de revenus est essentiel pour se procurer des matériaux et des équipements pour les programmes illégaux d’armes de destruction massive et de missiles balistiques de la RPDC. En fournissant un flux de trésorerie massif et illicite, qui est immunisé contre les sanctions financières traditionnelles, l’industrie mondiale de la crypto-monnaie a été armée, devenant un financier non régulé et involontaire des ambitions militaires de Pyongyang.
Les vols ne sont pas simplement des crimes de profit ; ce sont des actes de politique d’État, finançant une montée en puissance militaire qui menace la sécurité mondiale.
