Un nouveau rapport révèle l’ampleur alarmante de l’influence des hackers crypto nord-coréens

Selon un rapport publié par le Multilateral Sanctions Monitoring Team (MSMT), des hackers liés à la Corée du Nord ont dérobé la somme stupéfiante de 2,83 milliards de dollars en actifs virtuels entre 2024 et septembre 2025.

Le rapport souligne que Pyongyang ne se contente pas d’exceller dans le vol, mais possède également des méthodes sophistiquées pour liquider les gains illicites.

Les revenus du hacking alimentent un tiers des devises étrangères du pays

Le MSMT est une coalition multinationale de 11 pays, dont les États-Unis, la Corée du Sud et le Japon. Il a été établi en octobre 2024 pour soutenir la mise en œuvre des sanctions du Conseil de sécurité de l’ONU contre la Corée du Nord.

Selon le MSMT, les 2,83 milliards de dollars volés entre 2024 et septembre 2025 représentent un chiffre crucial.

« Les recettes issues du vol d’actifs virtuels par la Corée du Nord en 2024 représentaient environ un tiers du revenu total en devises étrangères du pays », a noté l’équipe.

L’ampleur des vols s’est accélérée de façon spectaculaire, avec 1,64 milliard de dollars dérobés rien qu’en 2025, soit une augmentation de plus de 50 % par rapport aux 1,19 milliard de dollars volés en 2024, alors même que le chiffre de 2025 n’inclut pas le dernier trimestre.

Le piratage de Bybit et le syndicat TraderTraitor

Le MSMT a identifié le piratage de la plateforme mondiale Bybit en février 2025 comme un facteur majeur de la hausse des revenus illicites en 2025. L’attaque a été attribuée à TraderTraitor, l’une des organisations de hacking les plus sophistiquées de la Corée du Nord.

L’enquête a révélé que le groupe avait collecté des informations relatives à SafeWallet, le fournisseur de portefeuille multi-signatures utilisé par Bybit. Ils ont ensuite obtenu un accès non autorisé via des emails de phishing.

Ils ont utilisé un code malveillant pour accéder au réseau interne, déguisant les transferts externes en mouvements d’actifs internes. Cela leur a permis de prendre le contrôle du smart contract du cold wallet.

Le MSMT a noté que lors des principaux piratages de ces deux dernières années, la Corée du Nord préfère souvent cibler les prestataires de services tiers connectés aux plateformes d’échange, plutôt que d’attaquer directement les plateformes elles-mêmes.

Le mécanisme de blanchiment en neuf étapes

Le MSMT a détaillé un processus méticuleux de blanchiment en neuf étapes utilisé par la Corée du Nord pour convertir les actifs virtuels volés en monnaie fiduciaire :

1. Les attaquants échangent les actifs volés contre des cryptomonnaies comme ETH sur une Decentralized Exchange (DEX).

2. Ils « mixent » les fonds à l’aide de services tels que Tornado Cash, Wasabi Wallet ou Railgun.

3. Ils convertissent ETH en BTC via des services de bridge.

4. Ils déplacent les fonds vers un cold wallet après être passés par des comptes sur des plateformes centralisées.

5. Ils dispersent les actifs vers différents portefeuilles après un second round de mixing.

6. Ils échangent BTC contre TRX (Tron) en utilisant des bridges et des transactions P2P.

7. Ils convertissent TRX en stablecoin USDT.

8. Ils transfèrent l’USDT à un broker Over-the-Counter (OTC).

9. Le broker OTC liquide les actifs en monnaie fiduciaire locale.

Un réseau mondial facilite la conversion en espèces

L’étape la plus difficile consiste à convertir les cryptomonnaies en monnaie fiduciaire utilisable. Cela est réalisé grâce à des brokers OTC et des sociétés financières situées dans des pays tiers, dont la Chine, la Russie et le Cambodge.

Le rapport cite des individus spécifiques, dont les ressortissants chinois Ye Dinrong et Tan Yongzhi de Shenzhen Chain Element Network Technology, ainsi que le trader P2P Wang Yicong.

Ils auraient coopéré avec des entités nord-coréennes pour fournir de fausses pièces d’identité et faciliter le blanchiment d’actifs. Des intermédiaires russes ont également été impliqués dans la liquidation d’environ 60 millions de dollars issus du piratage de Bybit.

En outre, Huione Pay, un prestataire de services financiers appartenant au groupe cambodgien Huione, a été utilisé pour le blanchiment.

« Un ressortissant nord-coréen a entretenu une relation personnelle avec des associés de Huione Pay et a coopéré avec eux pour convertir des actifs virtuels en espèces fin 2023 », a déclaré le MSMT.

Le MSMT a fait part de ses préoccupations au gouvernement cambodgien en octobre et décembre 2024 concernant les activités de Huione Pay soutenant les hackers nord-coréens désignés par l’ONU. En conséquence, la Banque nationale du Cambodge a refusé de renouveler la licence de paiement de Huione Pay ; cependant, l’entreprise continue d’opérer dans le pays.