Les hackers nord-coréens volent plus de $2 milliards en crypto en 2025

Des hackers liés à la République populaire démocratique de Corée ont volé 2,02 milliards de dollars en cryptomonnaies jusqu’à présent en 2025, selon un rapport de Chainalysis. Ce chiffre représente une augmentation de 51 % par rapport à l’année dernière et marque le total annuel le plus élevé jamais enregistré pour un vol de crypto lié à la RPDC.

La RPDC représente la majorité des vols de crypto dans le monde

Les vols de crypto en 2025 ont atteint 3,4 milliards de dollars, les attaques liées à la Corée du Nord étant responsables de 59 % de l’ensemble des fonds volés. Chainalysis indique que cette domination met en évidence la sophistication croissante et l’ampleur des opérations cybernétiques de la RPDC.

Transition vers moins d’attaques mais plus destructrices

Le rapport souligne une évolution dans les tactiques de la Corée du Nord, montrant un passage d’attaques fréquentes de petite envergure à moins d’opérations causant des dégâts nettement plus importants. Le piratage de 1,5 milliard de dollars de Bybit en février, attribué par le FBI à la RPDC, est cité comme un exemple clair de cette évolution.

Schémas de blanchiment distinctifs identifiés

Chainalysis indique que les hackers de la RPDC suivent un schéma de blanchiment en trois vagues reconnaissable, d’une durée d’environ 45 jours. Cela inclut l’utilisation fréquente de services en langue chinoise, une forte dépendance aux ponts cross-chain pour dissimuler les traces des transactions, et une utilisation accrue des services de mixage de cryptomonnaies. Selon la société, ces comportements sont restés constants au fil des années et offrent des opportunités de détection.

Tendance à long terme montrant une croissance rapide des fonds volés

Les données de Chainalysis montrent une forte augmentation des vols liés à la Corée du Nord ces dernières années. En 2023, des hackers affiliés ont volé environ $660 millions lors de 20 incidents. En 2024, ce chiffre a atteint 1,34 milliard de dollars répartis sur 47 incidents, plus que doublant en valeur d’une année sur l’autre.

Menaces internes et infiltration lors du recrutement en hausse

Un nombre croissant d’attaques sont liées à des agents de la RPDC tentant d’obtenir un emploi dans des entreprises de cryptomonnaies. Binance a déjà déclaré que des hackers nord-coréens tentent de se faire embaucher par la plateforme quotidiennement, utilisant parfois des outils vidéo et vocaux générés par IA pour passer des entretiens et obtenir un accès privilégié.

Les attaques sur la chaîne d’approvisionnement open-source s’étendent

Les hackers nord-coréens ont également été liés à la compromission de bibliothèques de code open-source, notamment des packages NPM largement utilisés par les développeurs. Ces bibliothèques malveillantes sont conçues pour infiltrer des projets et distribuer des logiciels malveillants, une menace qui oblige Binance à auditer ses dépendances de manière extensive.

Une stratégie soutenue par l’État augmente les enjeux pour 2026

Chainalysis avertit que la RPDC opère selon des motivations différentes de celles des cybercriminels classiques, utilisant le vol de cryptomonnaies pour financer les priorités de l’État et contourner les sanctions internationales. Malgré une réduction de 74 % des attaques connues en 2025, la Corée du Nord a obtenu des résultats record, ce qui suggère qu’une grande partie de ses activités pourrait rester invisible.

L’industrie doit relever le défi de prévenir la prochaine grande brèche

Le rapport conclut que le principal défi pour 2026 sera de détecter et d’arrêter les opérations à fort impact avant que des acteurs affiliés à la RPDC n’exécutent un autre incident à l’échelle du piratage de Bybit.