En 2024, des pirates informatiques liés à la Corée du Nord ont volé pour 1,3 milliard de dollars de cryptomonnaies, représentant 61 % des pertes mondiales. Ces attaques, menées par des groupes soutenus par le régime de Pyongyang, ont augmenté de manière significative par rapport à l'année précédente. La Corée du Nord utilise ces fonds pour financer ses activités militaires, notamment le développement d'armes nucléaires. Les cibles privilégiées des pirates sont les plateformes de crypto-monnaies centralisées. Bien que les vols aient diminué au second semestre de l'année, en partie en raison de la coopération accrue entre la Russie et la Corée du Nord, la tendance reste préoccupante pour l'avenir.Depuis le début de l'année, les pirates informatiques liés à la Corée du Nord, la seule monarchie communiste héréditaire au monde, sont responsables du vol de 1,34 milliard de dollars en cryptomonnaies à travers 47 incidents, soit le double du montant volé en 2023, selon Chainalysis. Un rapport de TRM Labs indique que, de janvier à octobre 2024, la Corée du Nord représentait entre 50 % et 100 % des utilisations illicites de cryptomonnaies, principalement via des fonds piratés. Les pirates nigérians arrivent en deuxième position, suivis par ceux de Géorgie, des Philippines et de Russie.
Les fonds volés par la Corée du Nord servent à soutenir le régime et ses ambitions militaires, notamment le développement d'armes nucléaires et de missiles. Bien que les pertes globales de crypto-monnaies en 2024 restent inférieures aux records de 2021 et 2022, elles sont directement liées à la hausse de la valeur des cryptomonnaies, comme le Bitcoin, qui a atteint un nouveau sommet à 106 000 dollars.
Les pirates nord-coréens représentent 61 % de la valeur totale des crypto-monnaies volées en 2024 et 20 % de tous les incidents de piratage. Leur activité continue d'augmenter, avec des exploits de plus en plus importants, ce qui pourrait se poursuivre pendant les vacances. En 2023, Chainalysis estimait que les pirates nord-coréens avaient volé 1 milliard de dollars, mais après réévaluation, ce montant a été réduit à 661 millions de dollars.
Depuis 2021, les criminels ciblaient principalement les plateformes décentralisées, mais en 2024, leur attention s'est davantage portée sur les services centralisés, tels que les bourses DMM Bitcoin et WazirX, dont la compromission a entraîné des pertes considérables. Malgré les milliards volés, le nombre d'incidents a diminué après le mois de juillet, possiblement en raison d'une réorientation des ressources vers des activités militaires en Ukraine suite à la visite de Vladimir Poutine en Corée du Nord en juin 2024.
Les pirates informatiques se tournent vers les services centralisés
En mai 2022, le FBI et d'autres agences gouvernementales américaines ont alerté sur une stratégie employée par la République populaire démocratique de Corée (RPDC), consistant à envoyer des informaticiens travailler en freelance pour des entreprises à travers le monde. Ces travailleurs obtiennent un accès privilégié, souvent utilisé pour faciliter des cyberintrusions. Selon les rapports officiels, ces informaticiens sont des experts en informatique qui dissimulent leur origine nord-coréenne afin d'éviter les sanctions imposées par les États-Unis et l'ONU contre la RPDC et ses soutiens.
Une alerte émise par le Département d'État, le Département du Trésor et le FBI précise que, outre l'évasion des sanctions, ces efforts servent également à financer les programmes d'armement nucléaire et de missiles balistiques de la Corée du Nord. Les autorités américaines avertissent que les entreprises embauchant ces travailleurs pourraient encourir des sanctions juridiques pour violation des interdictions économiques. Selon le communiqué, « des milliers d'informaticiens nord-coréens, qu'ils soient en RPDC ou à l'étranger, génèrent des revenus qui sont envoyés directement au gouvernement nord-coréen ».
Ces informaticiens exploitent la demande mondiale en compétences techniques spécifiques, telles que le développement de logiciels et d'applications mobiles, pour obtenir des contrats freelance en Amérique du Nord, en Europe et en Asie de l'Est. Ils se font souvent passer pour des travailleurs venus de Corée du Sud, du Japon ou d'autres pays asiatiques. Les autorités américaines alertent les employeurs sur certains signaux d'alarme, comme le refus de participer à des appels vidéo ou les demandes de paiement en cryptomonnaie.
Bien que ces travailleurs ne se livrent pas nécessairement à des cyberintrusions directes, leur accès privilégié en tant que freelances facilite parfois des piratages menés par la RPDC. Certains d'entre eux ont facilité des opérations de piratage en fournissant un accès aux infrastructures ou en participant au blanchiment d'argent et aux transferts de cryptomonnaies. Ils sont également soupçonnés de voler des informations sensibles, comme des identifiants de comptes bancaires, pour les utiliser sur diverses plateformes, y compris les sites de freelance et les services de paiement.
Pour dissimuler leur identité, les informaticiens nord-coréens modifient souvent leur nom, utilisent des VPN ou des adresses IP étrangères, et passent par des plateformes d'enchères pour trouver du travail, achetant parfois des comptes préexistants afin d'utiliser les profils d'autres personnes pour obtenir des contrats. Ils établissent des relations professionnelles avec d'autres freelances pour avoir accès à de nouveaux contrats et effectuent leur travail depuis des infrastructures américaines ou européennes, ce qui leur permet de contourner la sécurité et d'agir frauduleusement.
Les autorités recommandent aux entreprises de freelance de surveiller certains comportements suspects, comme des connexions depuis différentes adresses IP en peu de temps, l'utilisation de logiciels de bureau à distance ou de VPN, des modèles de documents récurrents, et des transferts fréquents d'argent vers des banques en Chine. Elles mettent également en garde contre des incohérences dans les informations personnelles et professionnelles des travailleurs, notamment les noms, la nationalité ou les contacts.
Fin octobre 2023, le FBI a révélé que la RPDC avait orchestré depuis plusieurs années un stratagème consistant à tromper des entreprises américaines en faisant travailler des informaticiens à distance, dont les salaires étaient envoyés pour financer les programmes de missiles de la Corée du Nord. Les informaticiens étaient souvent déguisés en travailleurs américains en payant des résidents américains pour utiliser leur connexion Wi-Fi. Ce système a permis de générer des millions de dollars pour des entités nord-coréennes, tout en infiltrant les réseaux d'entreprises pour voler des informations et préparer de futures cyberattaques.
En septembre 2023, une autre attaque du groupe Lazarus, soutenu par la Corée du Nord, a été signalée, où des faux tests de codage ont été envoyés aux développeurs avec des paquets Python malveillants. Le groupe continue d'évoluer dans ses méthodes, en ciblant de plus en plus les développeurs Python avec de fausses offres d'emploi, utilisant des fichiers malveillants déguisés en informations sur le poste.
Les plateformes centralisées de cryptomonnaies sont perçues comme des cibles à la fois lucratives et stratégiques
Les attaques informatiques menées par des pirates affiliés à la Corée du Nord en 2024, ayant permis de voler 1,3 milliard de dollars en cryptomonnaies, soulignent l’ampleur croissante de la cybercriminalité soutenue par un État. En représentant 61 % des pertes mondiales dans ce secteur, ces activités révèlent non seulement une capacité technique de plus en plus sophistiquée, mais aussi un ciblage ciblé des plateformes centralisées, qui constituent des points névralgiques pour les transactions de cryptomonnaies.
Ces attaques s'inscrivent dans une stratégie plus large visant à financer les ambitions militaires de la Corée du Nord, notamment le développement de son arsenal nucléaire. Ce phénomène soulève des questions sur les mécanismes de financement des régimes autoritaires et leur utilisation des technologies modernes pour contourner les sanctions internationales.
Le fait que les pirates visent principalement les plateformes centralisées de cryptomonnaies n'est pas anodin. Ces plateformes, souvent plus vulnérables en raison de leur structure centralisée et de leur gestion par des entités spécifiques, sont perçues comme des cibles à la fois lucratives et stratégiques. Les acteurs étatiques comme la Corée du Nord semblent de plus en plus habiles à exploiter ces failles, ce qui témoigne de la sophistication croissante de leurs méthodes.
Par ailleurs, bien que les pertes aient diminué au second semestre 2024, cette baisse pourrait s'expliquer en partie par la coopération renforcée entre la Corée du Nord et la Russie, qui pourrait avoir facilité des actions plus discrètes ou une optimisation des moyens de transfert des fonds volés. Néanmoins, cette tendance ne masque pas la gravité de la situation, d’autant plus que les cyberattaques restent un outil clé pour le financement de régimes isolés et sanctionnés.
Cette situation soulève également des préoccupations sur l’avenir de la sécurité des cryptomonnaies et la résilience des plateformes face à ces attaques de grande envergure. En dépit de la baisse apparente des pertes, la persistance de telles attaques montre que les régimes autoritaires peuvent s’adapter aux évolutions des contre-mesures internationales. Les entreprises de cryptomonnaies et les gouvernements doivent donc redoubler d’efforts pour sécuriser les infrastructures et mettre en place des mécanismes de détection plus performants. Il devient impératif de repenser la régulation du secteur, en intégrant de nouveaux outils pour contrer le financement illicite des activités militaires par des moyens technologiques avancés.
En définitive, si l’ampleur des pertes semble avoir ralenti, le cadre géopolitique reste complexe et l’avenir incertain. La montée en puissance de la Corée du Nord dans le domaine de la cybercriminalité est un indicateur inquiétant de l’utilisation croissante des technologies pour contourner les systèmes financiers mondiaux et pour financer des projets qui portent atteinte à la sécurité internationale. La situation exige une réponse coordonnée et renforcée des communautés internationales pour lutter contre cette menace de manière efficace.
Source : Gov Info Security
Et vous ?
Quel est votre avis sur le sujet ? Quelles sont selon vous, les mesures de sécurité et de prévention que les entreprises devraient prendre pour se protéger contre des pirates nord-coréens?Voir aussi :
Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen,car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires d e la Corée du Nord Lazarus, un faux recruteur, attire les employés d'une entreprise aérospatiale avec un défi de codage en C++, qui étaient des chevaux de Troie, selon les chercheurs d'ESET Le FBI affirme que la Corée du Nord a déployé des milliers de faux informaticiens US pour financer son programme d'armement, ce stratagème nord-coréen aurait généré des millions de dollars