Dans les coulisses de la machine crypto nord-coréenne : la dernière enquête de ZachXBT

L'enquêteur blockchain ZachXBT a publié l'un de ses rapports les plus détaillés à ce jour, levant le voile sur la façon dont les travailleurs informatiques nord-coréens siphonnent des millions chaque mois à l'industrie crypto.

Une source anonyme a remis à ZachXBT des données exfiltrées d'un serveur de paiement interne nord-coréen. L'ensemble de données contenait 390 comptes, des journaux de discussion privés et des enregistrements de transactions crypto s'étalant de décembre 2025 à avril 2026. Rien de tout cela n'avait jamais été rendu public. Ce que ZachXBT a découvert à l'intérieur était un système pleinement opérationnel et organisé, générant environ 1 million de dollars par mois grâce à des identités frauduleuses, des documents légaux falsifiés et un réseau hermétique de conversion crypto-fiat.

Au centre de cette opération se trouvait un site appelé luckyguys[.]site — une plateforme de transfert de fonds interne utilisée par les travailleurs informatiques de la RPDC pour rendre compte des paiements à leurs supérieurs. Imaginez-le comme une messagerie privée conçue spécifiquement pour canaliser l'argent. Le mot de passe par défaut de la plateforme était 123456. Dix utilisateurs ne l'avaient jamais changé. La liste des utilisateurs comprenait de vrais noms coréens, des emplacements de villes, des noms de groupes codés et des rôles attribués. Trois des entreprises qui sont apparues dans les données sont actuellement sanctionnées par l'OFAC : Sobaeksu, Saenal et Songkwang.

Depuis fin novembre 2025, plus de 3,5 millions de dollars ont transité par les adresses de portefeuilles de paiement liées à ce réseau. La méthode était uniforme chez tous les utilisateurs. Les travailleurs recevraient de la crypto d'un exchange ou d'un service, ou convertiraient leurs gains en fiat via des comptes bancaires chinois via des plateformes comme Payoneer. Un compte administrateur central identifié uniquement comme PC-1234 confirmerait la réception et distribuerait les identifiants pour l'exchange ou la plateforme fintech utilisée lors de ce cycle. Une adresse de paiement Tron a été gelée par Tether en décembre 2025 — ce qui signifie que quelqu'un savait déjà ce qui se passait. Cela n'a pas arrêté le réseau.

Un travailleur, désigné sous le nom de "Jerry", a été surpris en train de postuler à des emplois à distance sous de fausses identités tout en étant connecté via Astrill VPN. Des messages internes montraient des travailleurs discutant d'un article de presse à propos d'un travailleur informatique de la RPDC surpris utilisant la technologie deepfake lors d'un entretien d'embauche, se demandant nerveusement à voix haute si c'était l'un d'entre eux. Trente-trois travailleurs ont été trouvés communiquant sur le même réseau. Il ne s'agissait pas d'une petite cellule isolée. C'était une force de travail, avec une structure, une discipline et une chaîne de commandement très claire.

Entre novembre 2025 et février 2026, l'administrateur du réseau a distribué 43 modules de formation axés sur Hex-Rays et IDA Pro — des outils professionnels utilisés pour l'ingénierie inverse et l'analyse binaire. Les matériaux couvraient le désassemblage, la décompilation, le débogage et le décompactage d'exécutables hostiles. Ce ne sont pas les outils d'une opération d'escroquerie basique. Ce sont les outils de personnes se préparant à causer de sérieux dommages.

ZachXBT prend soin de noter que ce groupe se situe en dessous des groupes de menaces nord-coréens plus dangereux comme AppleJeus et TraderTraitor, qui sont responsables de certains des plus grands braquages de cryptomonnaies jamais enregistrés. Ce groupe est plus bas dans la hiérarchie. Mais plus bas ne signifie pas inoffensif. ZachXBT avait précédemment estimé que les travailleurs informatiques de la RPDC généraient collectivement plusieurs millions de dollars par mois dans l'industrie, et cette enquête soutient ce chiffre avec des preuves. Le site de paiement interne a été mis hors ligne peu après la publication de ZachXBT. Toutes les données avaient déjà été archivées.

La réaction de l'industrie

Le rapport de ZachXBT n'est pas tombé dans le silence. Il est apparu au milieu d'une semaine où l'industrie était déjà aux prises avec l'ampleur de la présence nord-coréenne au sein des équipes crypto. Quelques jours avant le rapport, la chercheuse en sécurité de MetaMask, Taylor Monahan, a affirmé que plus de 40 plateformes DeFi avaient involontairement employé des développeurs nord-coréens parrainés par l'État, certains remontant à l'été DeFi de 2020. « Beaucoup de travailleurs informatiques de la RPDC ont construit les protocoles que vous connaissez et aimez », a-t-elle écrit sur X, ajoutant que beaucoup de ces travailleurs avaient une réelle expérience de la blockchain, ce qui les rendait exceptionnellement difficiles à identifier.

ZachXBT lui-même, interrogé sur la sophistication de ces tactiques, a été direct. « Les menaces via les offres d'emploi, LinkedIn, les e-mails, Zoom ou les entretiens sont basiques et en aucun cas sophistiquées », a-t-il déclaré. « La seule chose à leur sujet est qu'ils sont implacables. »

La réaction de la communauté au sens large a été mitigée. Beaucoup ont pointé du doigt la négligence d'embauche des équipes qui deviennent défensives lorsqu'elles sont alertées de potentielles menaces de sécurité. D'autres ont souligné les chiffres : en 2025, des groupes liés à la RPDC ont volé au moins 2,02 milliards de dollars en cryptomonnaie — 60 % du vol mondial cette année-là — y compris un piratage de Bybit de 1,5 milliard de dollars. Cette dernière enquête n'est pas un incident isolé. C'est une pièce visible d'une opération bien plus vaste.

Ce que cette enquête met en évidence, c'est que l'opération crypto de la Corée du Nord n'est pas une collection de freelances voyous. C'est une entreprise structurée et hiérarchique avec des supérieurs, des administrateurs, des travailleurs formés et une infrastructure de paiement qui fonctionne depuis des mois sans interruption. Pour tout projet crypto, exchange ou DAO qui embauche des contributeurs à distance, ce n'est pas un problème lointain. Ces travailleurs postulent à des emplois en ce moment, avec des portfolios soignés et des visages qui pourraient ne pas être les leurs. La vérification n'a jamais été aussi importante.

La blockchain est transparente. Ces réseaux comptent sur l'inattention de l'industrie.