Voici comment les hackers nord-coréens continuent d'être payés en crypto malgré les sanctions.

TRM Labs affirme que des travailleurs informatiques nord-coréens ont blanchi des millions en USDC et USDT tout en travaillant secrètement pour des startups blockchain.

La Corée du Nord continue de s'appuyer sur les crypto-monnaies pour financer discrètement ses programmes d'armement, et le gouvernement américain intensifie ses efforts pour y mettre fin. Le 8 juillet, le Bureau de contrôle des avoirs étrangers du Trésor américain a sanctionné un hacker nord-coréen, Song Kum Hyok, qu'ils accusent d'avoir aidé à organiser un vaste système impliquant de faux travailleurs à distance dans des entreprises technologiques et de crypto-monnaies sans méfiance.

Selon un rapport récent de la société de forensic blockchain TRM Labs, Song était lié à Andariel, une unité de cybercriminalité qui fait partie du renseignement militaire nord-coréen. Ils ont expliqué qu'il a joué un rôle clé en plaçant des travailleurs en informatique — dont la plupart étaient en réalité des agents nord-coréens — dans des emplois au sein d'entreprises américaines en utilisant des identités américaines volées et de faux documents.

Beaucoup de ces emplois étaient dans le web3, l'infrastructure crypto ou le développement de logiciels liés à la blockchain.

TRM Labs a déclaré que ces travailleurs opéraient depuis des pays comme la Chine et la Russie tout en prétendant être des freelances basés aux États-Unis. Ils étaient payés en stablecoins tels que USD Coin (USDC) et Tether (USDT). De là, l'argent semblait avoir transité par des couches de portefeuilles, de mélangeurs et de services de conversion avant de finir entre les mains du régime nord-coréen.

« Le Trésor reste déterminé à utiliser tous les outils disponibles pour perturber les efforts du régime Kim visant à contourner les sanctions par le biais de son vol d'actifs numériques, de tentatives d'usurpation d'identité d'Américains et d'attaques informatiques malveillantes. »

Sous-secrétaire au Trésor, Michael Faulkender

Les analystes de TRM Labs ont souligné que c'est juste le dernier signe que le Bureau général de reconnaissance de la Corée du Nord — le même organisme derrière Lazarus et Bluenoroff — utilise encore des tactiques cybernétiques pour soutenir des objectifs militaires. Les responsables du Trésor, ont-ils noté, ont averti que le vol de crypto et la fraude d'identité restent centraux dans la stratégie de la Corée du Nord pour éviter la pression économique.

Les analystes ont expliqué que le schéma découvert par l'OFAC repose fortement sur des identités fictives. Song serait responsable de la création de ces fausses identités, utilisant des données volées à de véritables citoyens américains. Une fois embauchés, les agents nord-coréens auraient pu travailler pendant des mois, voire des années, dans des entreprises américaines sous de faux noms.

Ils ont également noté que l'OFAC a sanctionné quatre entreprises et une autre personne liée à un réseau basé en Russie qui aurait aidé à gérer ces faux emplois informatiques. Ces entreprises auraient signé des contrats à long terme avec des sociétés liées à la RPDC et étaient conscientes qu'elles traitaient avec des travailleurs nord-coréens.

De nombreux travailleurs ont spécifiquement visé des emplois dans le secteur de la crypto, où les paiements étaient plus faciles à anonymiser. Une fois la crypto reçue, les analystes de TRM Labs ont déclaré qu'elle était répartie sur plusieurs portefeuilles et finalement convertie en fiat en utilisant des courtiers OTC, dont certains ont déjà été sanctionnés.

Alliance cybernétique

La dernière action de l'OFAC a suivi une série de mouvements coordonnés par des agences américaines, y compris le ministère de la Justice et le FBI. Le 5 juin 2025, le DOJ a également déposé une plainte de confiscation civile visant à saisir plus de 7,7 millions de dollars en crypto, NFTs et autres actifs numériques censés être liés au même réseau nord-coréen.

TRM Labs indique que les travailleurs ont utilisé des identités comme « Joshua Palmer » et « Alex Hong » pour être embauchés dans des startups crypto et d'autres entreprises technologiques. Ils étaient payés en stablecoins, avec des produits acheminés via des échanges centralisés, des portefeuilles auto-hébergés, puis vers des figures de régime de niveau supérieur comme Kim Sang Man et Sim Hyon Sop, tous deux déjà sous sanctions américaines.

Selon les analystes, l'enquête du DOJ a révélé que certaines parties de l'opération reposaient sur une infrastructure basée en Russie et aux Émirats arabes unis. Les enquêteurs ont découvert l'utilisation d'adresses IP locales et de documents falsifiés, ce qui a aidé les travailleurs nord-coréens à cacher leur véritable identité. Cela, ont-ils déclaré, soulignait à quel point le schéma était devenu international.

Activité on-chain liée aux portefeuilles des travailleurs informatiques de la RPDC | Source : TRM Labs. Les données blockchain examinées par TRM ont montré qu'une fois que les fonds atteignaient des portefeuilles de niveau intermédiaire, l'argent était divisé en portions plus petites, acheminé par le biais d'outils d'amélioration de la confidentialité, et finalement échangé contre des devises fiat via des bureaux OTC. L'un de ces courtiers OTC avait déjà été sanctionné par l'OFAC à la fin de 2024.

En ce qui concerne les efforts d'application de la loi, le FBI et d'autres agences ont réussi à saisir une partie des actifs numériques blanchis, y compris USDC, ETH et quelques NFTs de grande valeur. Les analystes ont décrit ces saisies comme faisant partie d'une stratégie de blanchiment plus large destinée à rompre la piste de l'argent et à rendre la détection beaucoup plus difficile.

TRM Labs déclare que la dernière action du gouvernement américain envoie un message selon lequel la crypto reste un canal à haut risque pour l'évasion des sanctions, en particulier en ce qui concerne les opérations nord-coréennes. La société d'intelligence blockchain a averti que les entreprises embauchant des développeurs à distance — en particulier dans le domaine de la blockchain — doivent veiller à bien vérifier avec qui elles traitent réellement.