Une nouvelle affaire met en lumière l’ampleur de l’infiltration nord-coréenne dans l’écosystème technologique et crypto. Selon des documents récupérés après le piratage de l’un de leurs appareils, un groupe de travailleurs informatiques nord-coréens aurait généré plus de 3,5 millions de dollars en quelques mois seulement en se faisant passer pour de vrais développeurs afin de décrocher des emplois dans le secteur.
L’affaire a été relayée par ZachXBT, connu pour ses enquêtes on-chain, qui a partagé les éléments divulgués sur X. L’un des profils identifiés, surnommé “Jerry”, aurait fait partie d’une équipe d’environ 140 personnes générant à elle seule près de 1 million de dollars par mois.
📖 États-Unis : démantèlement d’un réseau crypto nord-coréen
Une organisation structurée, rentable… et visiblement peu prudente
L’un des détails les plus frappants de cette affaire tient presque du gag noir. Les membres de cette cellule coordonnaient leurs paiements en cryptomonnaie via un site appelé “luckyguys.site”, protégé par un mot de passe partagé d’une sophistication renversante : “123456”.
Oui. Même une box internet de province a parfois plus de dignité opérationnelle.
Selon ZachXBT, plusieurs utilisateurs de cette plateforme semblaient liés à Sobaeksu, Saenal et Songkwang, trois entités sanctionnées par l’Office of Foreign Assets Control (OFAC) aux États-Unis.
Des revenus en cryptomonnaie convertis ensuite vers la Chine
D’après les informations publiées, les fonds reçus en cryptomonnaies étaient ensuite convertis en monnaie fiduciaire avant d’être transférés vers des comptes bancaires chinois via des services de paiement en ligne comme Payoneer.
Le traçage des adresses de portefeuilles aurait également révélé des connexions avec d’autres portefeuilles nord-coréens déjà identifiés, certains ayant même été placés sur liste noire par Tether en décembre.
Autrement dit, il ne s’agirait pas d’un petit groupe isolé bricolant dans un coin. On parle ici d’un système organisé, monétisé et relié à des circuits déjà connus du secteur.
De faux développeurs… qui postulaient à de vrais emplois
L’un des éléments les plus révélateurs du dossier concerne la manière dont ces profils tentaient de s’intégrer dans l’économie réelle.
Une capture d’écran partagée par ZachXBT montre que Jerry utilisait un VPN Astrill pour accéder à Gmail, où il envoyait des candidatures pour des postes de développeur full-stack et d’ingénieur logiciel sur Indeed.
Dans un e-mail non envoyé, il aurait même préparé une candidature pour un poste de spécialiste WordPress et SEO dans une entreprise de t-shirts au Texas, en demandant 30 dollars de l’heure pour une disponibilité de 15 à 20 heures par semaine.
Ce détail est très important. Il montre que la stratégie ne consistait pas uniquement à viser des protocoles crypto ultra-techniques. Elle visait aussi des entreprises classiques, potentiellement moins préparées aux risques d’infiltration.
Des identités falsifiées pour infiltrer le marché du travail
Les documents exposés montrent également l’usage de faux documents d’identité.
L’un des informaticiens identifiés sous le surnom de “Rascal” aurait notamment partagé :
- des photos d’une facture avec un faux nom
- une fausse adresse à Hong Kong
- et une photo d’un passeport irlandais
Il n’est toutefois pas établi si ce passeport a effectivement été utilisé dans le cadre d’une candidature ou d’une opération plus large.
Mais le schéma est clair : ces profils cherchaient à se fondre dans les procédures de recrutement internationales en utilisant des identités construites de toutes pièces.
Un tableau de classement pour mesurer la performance des travailleurs
Autre élément révélateur du niveau d’organisation : les travailleurs nord-coréens disposaient d’un tableau de classement interne.
Celui-ci affichait la quantité de cryptomonnaie rapportée par chaque membre depuis le 8 décembre, avec des liens directs vers des explorateurs blockchain permettant de visualiser les transactions.
Autrement dit, le système ne fonctionnait pas seulement comme un réseau clandestin. Il fonctionnait aussi comme une structure de rendement, avec suivi de performance, mesure des résultats et logique quasi managériale.
Bienvenue dans la startup dystopique de l’année.
Le secteur crypto reste une cible privilégiée
Cette affaire s’inscrit dans un contexte plus large où les acteurs nord-coréens continuent de représenter une menace majeure pour l’industrie crypto.
Selon les éléments mentionnés, des employés nord-coréens soutenus par l’État auraient dérobé plus de 7 milliards de dollars depuis 2009, dont une part importante proviendrait de projets liés aux cryptomonnaies.
Parmi les attaques les plus connues citées dans les informations fournies figurent :
- le piratage de Bybit pour 1,4 milliard de dollars
- le piratage du pont Ronin pour 625 millions de dollars
- et l’attaque du protocole Drift pour 280 millions de dollars le 1er avril
Le tableau qui se dessine est limpide : infiltration humaine, ingénierie sociale, faux profils, paiements en crypto, recyclage des fonds et ciblage d’entreprises réelles font désormais partie d’un même écosystème d’attaque.
ZachXBT estime toutefois que ce groupe n’était pas le plus dangereux
Malgré le niveau d’organisation observé, ZachXBT a précisé que ces travailleurs informatiques semblaient moins sophistiqués que d’autres groupes nord-coréens plus connus comme AppleJeus et TraderTraitor.
Selon lui, ces groupes opèrent de manière beaucoup plus efficace et représentent aujourd’hui les risques les plus élevés pour le secteur.
Autrement dit, même cette cellule qui gagnait des millions et utilisait de faux profils pour infiltrer des entreprises ne serait pas, selon cette lecture, le haut du panier de la menace nord-coréenne.
Ce qui n’est pas exactement rassurant.
Pourquoi cette affaire est importante
Cette affaire rappelle une chose essentielle : dans l’écosystème crypto et tech, le risque ne vient pas seulement du code. Il vient aussi des humains, des recrutements, des prestataires et des profils qui paraissent parfaitement normaux.
Un faux développeur peut parfois coûter bien plus cher qu’un bug dans un smart contract, surtout s’il obtient un accès interne à un projet, à un dépôt GitHub, à un wallet d’entreprise ou à des outils critiques.
Et c’est précisément ce qui rend ce sujet aussi sérieux : l’attaque commence parfois bien avant le hack. Elle commence au moment où quelqu’un clique sur “Accepter la candidature”.
👉 🔍 DUC Mon Avis : le vrai danger crypto n’est pas toujours dans le code, il est souvent déjà dans l’équipe
À mon avis, cette affaire est extrêmement importante parce qu’elle montre un angle encore trop sous-estimé dans l’industrie : la cybersécurité humaine.
Beaucoup de projets crypto passent leur temps à auditer leur code, à renforcer leurs smart contracts et à parler de sécurité technique. Très bien. Mais si derrière tu recrutes un faux dev avec une fausse identité qui travaille pour une structure hostile, alors tu as déjà laissé la porte ouverte.
Le plus inquiétant ici, ce n’est même pas seulement les 3,5 millions de dollars, le mot de passe “123456” ou les faux documents. Le plus inquiétant, c’est que cette mécanique semble désormais industrialisée.
Et dans un secteur où beaucoup d’équipes travaillent à distance, en freelance, à l’international et parfois dans l’urgence, ce genre de modèle peut continuer à faire des dégâts.
En clair : le prochain “hack crypto” ne commencera peut-être pas par une ligne de code. Il commencera peut-être par un CV parfaitement rédigé, un profil LinkedIn propre… et un entretien Zoom très convaincant.🧐
✍️ DUC
📌 Source : ZachXBT sur X
🚀 Rejoignez-moi sur YouTube et Twitch pour plus de contenu exclusif !
📢Prendre des décisions informées dans cet univers passionnant ! Comprendre, Apprendre, Réussir…
🔔 Abonnez-vous et activez les notifications pour ne manquer aucun contenu :
- Sur YouTube : Toutes les actualités Bitcoin. Un oeil sur tout le Web3
- Sur Twitch : Des lives interactifs, des Q&A, et des discussions en temps réel sur Bitcoin (politiques , techniques, minages etc) et les mouvements du marché des cryptomonnaies.
À bientôt, DUC
En savoir plus sur Actualités Bitcoin – Bitcoin-Crypto.fr
Subscribe to get the latest posts sent to your email.
Vous devez être connecté pour poster un commentaire.