Des hackers nord-coréens ont volé un record de 2,02 milliards de dollars en cryptomonnaies en 2025, selon un nouveau rapport de Chainalysis, surpassant de 51 % le butin de l'année précédente et portant leur total à 6,75 milliards de dollars. Ces vols, qui ont représenté 60 % du total mondial de 3,4 milliards de dollars volés, ont été alimentés par moins d'attaques mais plus importantes, dont une brèche de 1,5 milliard de dollars sur l'exchange Bybit basée à Dubaï en février. Les experts attribuent ce succès à des tactiques sophistiquées comme l'infiltration d'employés IT dans des firmes crypto et l'usurpation d'identité de recruteurs.
Le rapport Chainalysis, publié le 18 décembre 2025, met en lumière un changement dans les schémas de vol de cryptomonnaies, la République populaire démocratique de Corée (RPDC) de Corée du Nord restant l'acteur de menace dominant. Malgré 74 % d'incidents confirmés en moins par rapport à 2024, les hackers de la RPDC ont obtenu des résultats disproportionnés en ciblant des services centralisés à réserves élevées. Le piratage de février de Bybit, lié par les autorités américaines au groupe d'élite Lazarus de Corée du Nord, a seul représenté 1,5 milliard de dollars en ethereum et autres actifs, marquant le plus grand vol de crypto jamais enregistré.
Les analystes blockchain notent que les opérateurs de la RPDC infiltrent de plus en plus les entreprises crypto en obtenant frauduleusement des postes IT à distance ou en se faisant passer pour des recruteurs sur des plateformes comme Upwork. « Les acteurs de menace nord-coréens obtiennent de plus en plus ces résultats disproportionnés souvent en plaçant des employés IT à l'intérieur des services crypto pour obtenir un accès privilégié », indique le rapport. Au niveau exécutif, ils simulent des pitches d'investissement pour extraire des identifiants et l'accès au système. Le chercheur en sécurité Pablo Sabbatella a estimé que 30 à 40 % des candidatures d'emploi dans les firmes crypto proviennent d'opérateurs nord-coréens.
Les schémas de blanchiment révèlent les préférences de la RPDC pour les services en chinois, les ponts cross-chain et les protocoles de mixage, avec des fonds déplacés en petites tranches de moins de 500 000 dollars sur un cycle typique de 45 jours. Cela diffère des autres cybercriminels, qui privilégient des transferts plus importants et les prêts DeFi. Les Nations Unies accusent depuis longtemps la Corée du Nord d'utiliser ces fonds pour contourner les sanctions et financer ses programmes nucléaires et balistiques.
À l'échelle mondiale, les compromissions de portefeuilles personnels ont bondi à 158 000 incidents touchant 80 000 victimes, bien que la valeur totale volée ait chuté à 713 millions de dollars. Les hacks DeFi sont restés faibles malgré l'augmentation de la valeur totale verrouillée, suggérant des mesures de sécurité améliorées, comme vu dans la réponse rapide du protocole Venus à une attaque en septembre qui a récupéré tous les fonds.
Les experts mettent en garde contre des risques persistants. « L'activité de vol de crypto de la Corée du Nord est une question de sanctions, de sécurité nationale et de crime financier », a déclaré Chris Wong, ancien agent du FBI chez TRM Labs. Le responsable de la sécurité nationale chez Chainalysis, Andrew Fierman, a souligné la nécessité d'une meilleure détection des comportements on-chain distincts de la RPDC.
