Comment des hackers indépendants de Corée du Nord ont construit un réseau de piratage crypto de 680 000 $

Une enquête récente a révélé une opération alarmante : une petite unité d’agents informatiques nord-coréens maintenait au moins 31 identités frauduleuses pour infiltrer des plateformes de cryptomonnaie et réaliser des vols à grande échelle. L’incident le plus important documenté concernait le vol de 680 000 $ sur le marché de tokens de fans Favrr en juin 2025.

La stratégie d’infiltration : créer des profils freelances crédibles

Les renseignements recueillis à partir d’un appareil compromis révèlent comment ces hackers freelances nord-coréens se sont établis dans l’industrie crypto. Le groupe a créé des identités de couverture élaborées, rassemblant une documentation complète incluant de faux papiers d’identité gouvernementaux et des numéros de téléphone. Pour paraître légitimes sur les plateformes d’embauche, ils ont acheté des comptes LinkedIn et Upwork établis, empruntant ainsi la crédibilité des utilisateurs précédents.

Les postes d’ingénieur blockchain et de développement de contrats intelligents sont devenus leurs cibles principales. Des preuves suggèrent qu’une personne a postulé pour un poste d’ingénieur full-stack chez Polygon Labs, tandis que des transcriptions d’entretiens montrent des revendications d’emplois antérieurs dans des entités crypto notables comme OpenSea et Chainlink. Ces credentials fabriqués leur ont permis de s’insérer dans des organisations de cryptomonnaie sans méfiance.

Infrastructure opérationnelle : accès à distance et dissimulation numérique

Une fois intégrés dans des projets crypto, les hackers freelances utilisaient des logiciels d’accès à distance sophistiqués, notamment AnyDesk, pour effectuer leur travail tout en maintenant une distance physique avec leurs employeurs. La technologie VPN masquait leur localisation géographique, créant l’illusion de travailleurs à distance légitimes provenant d’autres régions.

La suite d’outils de Google est devenue centrale dans leurs opérations. Des données leakées révèlent qu’ils géraient les plannings de projets, les affectations de tâches et les budgets via Google Drive. Les exportations de profils Chrome montrent une forte dépendance aux services de traduction de Google pour maintenir une communication en anglais tout en opérant depuis une région non anglophone. Les documents financiers enregistrent 1 489,8 $ de dépenses opérationnelles rien que pour le mois de mai.

De l’emploi à l’exploitation : la brèche Favrr de 680 000 $

L’enquête a identifié des liens directs entre cette infrastructure et certains vols crypto. L’adresse de portefeuille 0x78e1a montrait des schémas cohérents avec des fonds provenant du hack Favrr de juin. La preuve sur la blockchain relie ces fonds à des individus se présentant comme « Alex Hong » et d’autres développeurs — tous faisant partie de la même opération coordonnée nord-coréenne. Cette équipe avait déjà ciblé l’échange de cryptomonnaies Bitbit en février, orchestrant un vol de 1,4 milliard de dollars qui a choqué l’industrie.

Incidemment, leur historique de recherche révélait une collecte de renseignements sur l’infrastructure crypto plus large — des requêtes concernant le déploiement de tokens ERC-20 sur Solana et des recherches sur des entreprises européennes de développement d’IA suggèrent un intérêt accru pour des cibles au-delà des incidents initiaux.

Le risque plus large : pourquoi les entreprises crypto restent vulnérables

Les chercheurs en sécurité soulignent que ces hackers freelances ont exploité une faiblesse fondamentale dans les processus de recrutement. Malgré la simplicité relative de la méthodologie d’infiltration, les entreprises de cryptomonnaie échouent systématiquement à mettre en œuvre une diligence raisonnable adéquate. Le volume élevé de candidatures pour des postes de développement crée une fatigue décisionnelle chez les équipes de recrutement, menant à une vérification compromise.

La fragmentation entre les entreprises crypto et les plateformes freelances amplifie le problème. Aucun des deux écosystèmes ne dispose de systèmes de vérification interplateformes robustes, laissant des lacunes que des acteurs déterminés peuvent exploiter. Les sanctions du Trésor américain contre deux individus et quatre entités impliquées dans des réseaux d’agents informatiques nord-coréens démontrent une prise de conscience gouvernementale du danger, mais l’adoption par le secteur privé de mesures de sécurité correspondantes reste inconstante.

La leçon est claire : une vérification approfondie des antécédents, un partage d’informations interplateformes et un scepticisme envers les profils de candidats géographiquement incohérents sont des défenses nécessaires contre les tentatives d’infiltration coordonnées par des hackers freelances soutenus par l’État ciblant le secteur de la cryptomonnaie.