Les hackers nord-coréens battent un nouveau record : plus de 2 milliards dérobés en 2025, signe d’une professionnalisation accélérée de la cybercriminalité étatique.
Le rapport 2025 d’Elliptic révèle que des groupes liés à la Corée du Nord ont volé plus de 2 milliards $ (1,84 Md€) en cryptoactifs, un montant jamais atteint. L’attaque majeure contre Bybit en février concentre les deux tiers du total, tandis que d’autres opérations ciblent l’écosystème DeFi.
Ces campagnes marquent un tournant : les pirates misent désormais sur la manipulation humaine plutôt que sur des failles techniques. ZATAZ vous alerte sur ces « failles humaines » depuis plus de 20 ans. L’analyse d’Elliptic alerte sur la montée en puissance des méthodes de blanchiment et appelle les acteurs du secteur à renforcer leur hygiène cyber.
Bybit, point d’orgue d’une année record
En février 2025, la plateforme Bybit a subi le plus gros piratage de l’histoire récente des cryptoactifs : environ 1,46 milliard $ (1,34 Md€) ont été transférés vers des portefeuilles attribués à des opérateurs nord-coréens. Cet épisode concentre à lui seul plus des deux tiers du total recensé par Elliptic.
Les analystes jugent ces chiffres prudents : plusieurs attaques restent non documentées ou difficiles à attribuer, en raison de l’usage massif de techniques d’anonymisation et de transactions inter-chaînes.
Outre Bybit, les projets DeFi LND.fi, WOO X et Seedify figurent parmi les victimes confirmées. Depuis janvier, plus de 30 intrusions réussies ont été reliées à la Corée du Nord. Les fonds dérobés alimenteraient, selon les estimations précédentes d’experts occidentaux, le programme d’armement de Pyongyang.
Une mutation tactique centrée sur l’humain
Les modes opératoires nord-coréens ont changé de nature. Les attaques par exploitation de failles logicielles cèdent la place à des campagnes d’ingénierie sociale plus fines.
Les pirates ciblent désormais les employés clés des bourses et protocoles DeFi à travers des courriels ou offres d’emploi frauduleuses. Les « mises à jour » ou « intégrations » piégées installent des portes dérobées donnant accès aux clés privées et aux serveurs internes.
Ce basculement stratégique réduit la dépendance à des vulnérabilités complexes et rend les campagnes plus difficiles à anticiper. L’approche privilégie la tromperie et la patience : plusieurs infiltrations auraient été préparées sur plusieurs mois avant déclenchement.
Elliptic y voit la signature d’équipes aguerries, issues de structures comme Lazarus Group, déjà connues pour leurs opérations de cyberespionnage contre des institutions financières et des laboratoires de recherche.
Blanchiment et évasion, la nouvelle guerre des flux
Le suivi des cryptoactifs volés devient de plus en plus ardu. L’amélioration des outils de traçage pousse les groupes nord-coréens à complexifier leurs circuits de blanchiment.
Elliptic observe des enchaînements d’opérations en cascade : mélange d’actifs sur plusieurs plateformes, transferts via des blockchains confidentielles, et recours intensif à des protocoles de swap inter-chaînes.
Ces techniques fragmentent les flux et brouillent l’analyse transactionnelle, même pour les firmes spécialisées. Les fonds transitent brièvement sur des bourses secondaires avant d’être convertis en stablecoins ou en actifs réels hors de portée des sanctions.
Le phénomène démontre une adaptation rapide à la surveillance accrue du secteur. L’usage de services de mixage décentralisés et de passerelles non réglementées reste une constante, malgré les efforts coordonnés des États-Unis, de la Corée du Sud et de l’Union européenne pour les neutraliser.
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
