Des opérateurs liés à la Corée du Nord ont passé des années à s'intégrer discrètement dans des entreprises crypto et des équipes DeFi, soulevant de nouvelles inquiétudes quant aux risques internes après une série d'exploits de grande valeur liés à l'appareil cybernétique du pays.
Taylor Monahan, chercheuse en sécurité et développeuse chez MetaMask, a déclaré que ces tactiques remontent aux débuts de la finance décentralisée, avec des individus liés à la République populaire démocratique de Corée contribuant à plusieurs protocoles largement utilisés.
« De nombreux travailleurs informatiques de la RPDC ont bâti les protocoles que vous connaissez et aimez, depuis le DeFi Summer », a-t-elle déclaré dimanche, ajoutant que plus de 40 plateformes, y compris plusieurs projets bien connus, se sont à un moment donné appuyées sur de tels développeurs.
Cependant, elle a noté que les « sept années d'expérience en développement blockchain » listées sur leurs CV ne sont « pas un mensonge ».
Les enquêteurs ont longtemps associé les cyberopérations nord-coréennes au groupe Lazarus, un collectif soutenu par l'État qui aurait volé environ 7 milliards de dollars d'actifs numériques depuis 2017, selon les analystes de R3ACH.
Le groupe a été associé à certaines des plus grandes brèches de l'industrie, notamment l'exploit de 625 millions de dollars sur le Ronin Bridge en 2022, le hack de WazirX de 235 millions de dollars en 2024 et l'incident Bybit de 1,4 milliard de dollars en 2025.
L'exploit de 280 millions de dollars du protocole Drift la semaine dernière a suscité un examen renouvelé. Le projet a déclaré avoir une « confiance moyenne à élevée » qu'un groupe affilié à l'État nord-coréen était derrière l'attaque, reliant l'incident à un schéma plus large d'infiltration et d'ingénierie sociale.
Cependant, les réunions en face à face qui ont précédé la brèche n'étaient pas avec des ressortissants nord-coréens, mais plutôt avec des « intermédiaires tiers » utilisant des « identités entièrement construites incluant des historiques d'emploi, des identifiants publics et des réseaux professionnels ».
Ces profils comprenaient des historiques d'emploi, des identifiants publics et des réseaux professionnels actifs, leur permettant d'établir la confiance grâce à des interactions en personne avant que l'exploit ne se produise.
L'enquêteur blockchain indépendant ZachXBT a averti dans un récent message X que toutes les menaces liées à la Corée du Nord n'opèrent pas au même niveau de sophistication.
« Le problème principal est que tout le monde les regroupe alors que la complexité des menaces est différente », a-t-il déclaré.
Il a décrit de nombreuses tentatives d'infiltration comme relativement simples, reposant sur la persistance plutôt que sur la complexité technique. Les approches via les offres d'emploi, LinkedIn, les e-mails, les appels Zoom et les processus d'entretien restent courants.
« Basique et en aucun cas sophistiqué [...] la seule chose, c'est qu'ils sont implacables », a-t-il déclaré, ajoutant que les équipes qui continueraient à tomber dans de telles tactiques en 2026 risquent d'être considérées comme négligentes.
