À l'intérieur du vol de Crypto de 900 000 $ : comment les agents nord-coréens ont infiltré les entreprises de Blockchain sans être détectés

Principaux enseignements :

• Quatre agents nord-coréens se sont fait passer pour des travailleurs informatiques à distance afin d'accéder et de voler plus de 900 000 $ en cryptomonnaie.
• Ils ont infiltré des entreprises de blockchain aux États-Unis et en Serbie en utilisant des identités volées et des documents falsifiés.
• Les fonds ont été blanchis via des mélangeurs et de faux comptes, les enquêteurs liant l'opération aux efforts de la RPDC pour financer ses programmes d'armement.

Quatre citoyens nord-coréens ont été accusés par des procureurs fédéraux d'avoir participé à un vol de devises qui a dérobé presque 1 million de dollars en cryptomonnaies à deux entreprises de cryptomonnaies dans une série complexe et continue d'attaques en ligne. Les procureurs affirment que les défendeurs ont profité de la croissance du travail à distance et du développement des cryptomonnaies pour contourner les sanctions et transférer des actifs numériques au gouvernement nord-coréen.

Le télétravail comme porte dérobée vers les entreprises de blockchain

L'acte d'accusation, déposé dans le district nord de la Géorgie le 30 juin 2025, décrit une escroquerie qui a duré d'au moins 2019 jusqu'à quelque part en 2022, avec plusieurs vols de crypto-monnaies durant cette période. Les accusés—Kim Kwang Jin, Kang Tae Bok, Jong Pong Ju et Chang Nam Il—ont utilisé de fausses identités et des identités volées pour obtenir des emplois en tant que développeurs dans des entreprises de blockchain situées aux États-Unis et en Serbie.

Les dossiers judiciaires révèlent que Kim et Jong ont été engagés comme développeurs par une entreprise de recherche et développement en blockchain basée en Géorgie et une société de jetons virtuels basée en Serbie, respectivement. Ils ont postulé sous des profils fabriqués qui comprenaient des documents frauduleux, mélangeant des détails d'identité réels et volés. Aucune des entreprises n'était au courant de la véritable nationalité nord-coréenne des candidats au moment de l'embauche.

L'opération aurait commencé avec le groupe travaillant ensemble aux Émirats arabes unis en 2019, où ils ont d'abord coordonné leurs compétences et planifié comment cibler les plateformes de crypto à l'étranger.

Vol et Blanchiment Coordonné d'Actifs Numériques

Exploitation de contrat intelligent et accès interne

Une fois dans ces emplois, les agents avaient accès à des systèmes internes sensibles et aux portefeuilles crypto de l'entreprise. Jong Pong Ju, alias "Bryan Cho", avait retiré environ 175 000 $ en monnaie numérique du compte bancaire de son employeur en février 2022. Un mois plus tard, Kim Kwang Jin a profité des failles dans le code du contrat intelligent de l'entreprise, s'enfuyant avec près de 740 000 $ d'actifs crypto.

Les procureurs ont déclaré que les deux vols étaient prémédités et avaient utilisé des modifications de code et des autorisations internes pour obscurcir les transactions non autorisées. L'argent volé a été blanchi par l'intermédiaire d'un service de mélange de devises numériques pour cacher ses origines, après quoi il a été transféré vers des comptes d'échange ouverts avec de faux documents d'identité malaisiens.

Ces comptes d'échange étaient gérés par Kang Tae Bok et Chang Nam Il, d'autres co-conspirateurs qui ont également blanchi les produits de l'argent volé. Les quatre ont été nommés dans un acte d'accusation de cinq chefs d'accusation, y compris des accusations de fraude électronique et de blanchiment d'argent.

Les autorités américaines mettent en garde contre l'expansion des tactiques cybernétiques de la Corée du Nord

L'avocat américain Theodore S. Hertzberg a souligné que l'affaire reflète une menace croissante et calculée de la République populaire démocratique de Corée (DPRK), qui utilise des opérateurs informatiques à l'échelle mondiale pour contourner les sanctions et lever des fonds pour des programmes gérés par l'État, y compris le développement d'armes nucléaires.

« Ces individus ont masqué leurs véritables identités, exploité la confiance des employeurs et volé près d'un million de dollars, tout cela pour soutenir un régime autoritaire », a déclaré Hertzberg. « Nous continuerons à poursuivre tout acteur, national ou étranger, qui cible les entreprises américaines. »

La division d'Atlanta du FBI, qui a dirigé l'enquête, a fait écho à ces préoccupations. L'agent spécial en charge Paul Brown a déclaré que l'utilisation par la RPDC d'identités frauduleuses pour pénétrer les entreprises de blockchain met en évidence l'intersection distincte entre la cybersécurité, la sécurité nationale et la criminalité financière.

Un Modèle d'Évasion des Sanctions Alimenté par la Crypto

Ce cas n'est pas isolé. Il fait partie d'un schéma plus large des opérateurs nord-coréens utilisant l'infrastructure crypto pour exploiter les contrôles internationaux. Sur le front domestique des enablers du DOJ, le DOJ est engagé dans l'effort de relations publiques connu sous le nom de DPRK RevGen : Initiative des Enablers Domestiques, une offensive lancée en mars 2024 par la Division de la Sécurité Nationale du DOJ, l'initiative visant à mettre fin à ces voies de blanchiment d'argent basées sur des devises virtuelles en ligne du côté étranger et du côté américain.

Les autorités ont déclaré que l'escroquerie faisait partie d'une initiative plus large visant à former des "réseaux de génération de revenus" qui contribuent finalement au budget stratégique de la Corée du Nord. Cela inclut des cyberattaques de haut niveau, des déploiements de ransomware, et maintenant—une infiltration directe dans les équipes corporatives par le biais d'un emploi à distance.

Andrew Fierman, responsable de la sécurité nationale chez la société d'analyse de blockchain Chainalysis, a commenté que les acteurs de la RPDC s'intègrent de plus en plus au sein des entreprises ciblées :

« Ils rassemblent des connaissances internes, manipulent les systèmes de l'intérieur et orchestrent même des violations internes. »

Ce modèle d'initié rend la détection plus difficile, surtout lorsqu'il est associé à des techniques de blanchiment avancées telles que le mélange de jetons et l'utilisation de protocoles de finance décentralisée (DeFi) pour superposer les transactions.

Lire la suite : Le fondateur de Manta Network évite le piratage Zoom du groupe Lazarus en utilisant une tactique de deepfake et de malware

L'industrie de la crypto-monnaie fait face à un examen renouvelé

L'incident pose des questions difficiles à l'industrie de la cryptographie, en particulier sur la vérification d'identité, l'embauche à distance et le contrôle d'accès. Bien que les entreprises basées sur la blockchain accordent une grande importance à la décentralisation et à l'embauche de talents à travers le monde, l'inconvénient est l'exposition accrue à la fraude sophistiquée.

Les fonds volés, d'une valeur d'environ 915 000 $ à l'époque, sont toujours suivis à travers les échanges, selon des sources proches de l'enquête. Le DOJ et le FBI collaborent avec les forces de l'ordre internationales et des entreprises privées d'analyse de blockchain pour récupérer les actifs.

Lire la suite : ZachXBT identifie le groupe Lazarus comme les hackers de Bybit à 1,4 milliard de dollars, remporte la récompense d'Arkham