Plus de 1 800 « agents présumés » de la Corée du Nord ont cherché à être recrutés chez les sous-traitants d’Amazon en un an, en progression de 27 %. Les pirates informatiques nord-coréens ont en outre volé 2,02 milliards de dollars en cryptoactifs en 2025, soit 51 % de plus que l’an passé, pour un total de 6,75 milliards de dollars depuis 2016.

Amazon a « empêché plus de 1 800 agents présumés » de la République populaire démocratique de Corée du Nord (RPDC) de rejoindre leur entreprise depuis avril 2024, et « détecté 27 % de candidatures supplémentaires liées à la RPDC » en un an, indique Stephen Shmidt, le responsable sécurité (CSO) d’Amazon, sur LinkedIn.

La Corée du Nord cherche en effet depuis des années à obtenir des emplois en télétravail dans des entreprises d’informatique afin de reverser leurs salaires pour financer les programmes d’armement du régime, ou encore d’obtenir des accès privilégiés leur permettant d’insérer des malwares, d’exfiltrer des données et plus particulièrement de voler des cryptoactifs.

• La Corée du Nord, ses pirates d’élite et son cybercrime organisé

Stephen Shmidt précise qu’Amazon utilise des systèmes de détection combinant un filtrage basé sur l’IA et une vérification humaine, des vérifications des antécédents et références, à la recherche d’anomalies dans les candidatures et d’incohérences géographiques, et partage plusieurs des techniques, tactiques et procédures (TTP) des pirates nord-coréens :

• leurs usurpations d’identité sont devenues plus sophistiquées, ils piratent aussi désormais des comptes LinkedIn inactifs grâce à des identifiants compromis, voire soudoient des comptes actifs contre rémunération ;
• ils ciblent de plus en plus les postes liés à l’IA et à l’apprentissage automatique, « probablement parce que ceux-ci sont très demandés à mesure que les entreprises adoptent l’IA » ;
• ils travaillent souvent avec des facilitateurs qui gèrent des « fermes d’ordinateurs portables », notamment aux États-Unis, qui font croire aux employeurs qu’ils sont dans le même pays alors qu’ils opèrent à distance depuis l’étranger ;
• après avoir initialement prétendu être passés par des universités d’Asie de l’Est, ils tendent désormais à faire croire avoir été formés dans des établissements états-uniens.

« Ce sont les petits détails qui les trahissent. Par exemple, ces candidats indiquent souvent les numéros de téléphone américains avec « +1 » au lieu de « 1 ». Pris isolément, cela ne signifie rien. Mais combiné à d’autres indicateurs, cela donne une image plus claire. »

Un décalage « à peine perceptible » de quelques dizaines de millisecondes

« Si nous n’avions pas cherché les travailleurs nord-coréens, nous ne les aurions pas trouvés », explique Stephen à Bloomberg, d’autant que ces vrais-faux employés ne sont pas recrutés directement par Amazon, mais par ses sous-traitants.

Amazon a surveillé la vitesse de transmission des frappes sur le clavier de l’ordinateur portable de l’un d’entre eux, censé se trouver aux États-Unis, qui « auraient dû mettre quelques dizaines de millisecondes pour atteindre le siège social d’Amazon à Seattle ». Or, le temps de transmission depuis cet ordinateur était « supérieur à 110 millisecondes », un décalage « à peine perceptible » mais suggérant que son utilisateur se trouvait à l’autre bout du monde, en Chine.

Un porte-parole d’Amazon a déclaré à Bloomberg News que les pirates nord-coréens passaient par des ordinateurs localisés aux États-Unis et administrés par une femme originaire d’Arizona. En juillet dernier, cette dernière a été condamnée à 8 ans et demi de prison pour les avoir aidés à travailler pour plus de 300 entreprises américaines, générant « plus de 17 millions de dollars de revenus illicites » pour la RPDC.

Des salaires pouvant aller jusqu’à 100 000 dollars par mois

Fin octobre, Chainalysis relevait que « ce qui n’était au départ qu’un simple programme d’emploi s’est transformé en une opération mondiale sophistiquée », mais également que « les informaticiens nord-coréens gagnent désormais entre 3 500 et 10 000 dollars par mois, les plus performants pouvant atteindre 100 000 dollars par mois » :

« Opérant principalement depuis la Chine et la Russie, ces travailleurs utilisent plusieurs fausses identités (parfois jusqu’à 12 par personne) et ciblent spécifiquement des entreprises dans des secteurs stratégiques tels que l’intelligence artificielle (IA), la blockchain et la défense. En outre, il semble que la Corée du Nord cible de plus en plus les entreprises en Allemagne, au Portugal et au Royaume-Uni. »

Un butin cumulé de 6,75 milliards de dollars de cryptoactifs

Un rapport de Chainalysis consacré aux vols de cryptoactifs en 2025 souligne de son côté que la Corée du Nord « continue de représenter la menace la plus importante pour la sécurité des cryptomonnaies, avec une année record en termes de fonds volés, malgré une réduction spectaculaire de la fréquence des attaques ».

En 2025, les attaques des pirates informatiques nord-coréens ont en effet représenté « un record de 76 % de toutes les compromissions de services » (contre 61 % en 2024), et permis de dérober « au moins 2,02 milliards de dollars » en cryptomonnaies, soit 681 millions (et 51 %) de plus qu’en 2024.

Chainalysis rappelle que le groupe nord-coréen Lazarus, responsable d’une majorité des attaques contre des cryptoactifs dans le monde, avait en effet réussi à dérober 1,5 milliard de dollars à la bourse d’échange Bybit en février 2025.

• 1,5 milliard de dollars : Bybit frappée par le plus gros vol de cryptoactifs jamais enregistré

Depuis 2016, ces braquages à répétition leur auraient permis de voler un montant cumulé de 6,75 milliards de dollars de cryptoactifs.

Chainalysis précise que les montants escroqués seraient les plus importants jamais enregistrés, notamment parce qu’ils parviennent à infiltrer des informaticiens dans des entreprises de cryptos, de l’IA et de la blockchain, « ou en utilisant des tactiques sophistiquées d’usurpation d’identité visant les cadres supérieurs ».

Les pirates nord-coréens chercheraient de plus en plus à infiltrer les entreprises liées aux cryptoactifs afin d’obtenir des accès privilégiés, et de maximiser les montants de leurs braquages, note Chainalysis : « une partie de cette année record reflète probablement une dépendance accrue à l’égard de l’infiltration d’informaticiens dans les bourses, les dépositaires et les entreprises web3, ce qui peut accélérer l’accès initial et les mouvements latéraux avant un vol à grande échelle ».

Des stratégies d’ingénierie sociale ciblant des cadres supérieurs

De plus, et non contents de simplement postuler à des postes afin d’être recrutés en tant qu’employés, « ils se font de plus en plus passer pour des recruteurs de grandes entreprises du web3 et de l’IA, orchestrant de faux processus de recrutement qui aboutissent à des « tests techniques » conçus pour récolter les identifiants, le code source et l’accès VPN ou SSO à l’employeur actuel de la victime ».

• Une arnaque au recrutement cible les développeurs amateurs de crypto

Chainalysis évoque également une stratégie similaire d’ingénierie sociale ciblant des cadres supérieurs, et prenant la forme de « fausses prises de contact de la part de prétendus investisseurs ou acquéreurs stratégiques » , qui profitent de réunions de présentation et de pseudo-vérifications préalables pour « obtenir des informations sensibles sur les systèmes et des voies d’accès potentielles à des infrastructures de grande valeur ».

À l’instar de ce que Chainalysis avait déjà constaté ces dernières années, « la Corée du Nord continue de mener des attaques d’une valeur nettement supérieure à celles des autres acteurs malveillants ». Entre 2022 et 2025, les piratages qui lui ont été attribués « occupent les fourchettes de valeur les plus élevées, tandis que les piratages non attribués à la Corée du Nord présentent des distributions plus normales pour toutes les tailles de vols », comme le montre le graphique qui suit : « Cette tendance confirme que lorsque les pirates nord-coréens frappent, ils ciblent les grands services et visent un impact maximal ».

« La capacité de cet État-nation à mener des attaques moins nombreuses mais beaucoup plus destructrices témoigne d’une sophistication et d’une patience croissantes », conclut Chainalysis.