## 2025 année sera une « année prospère » pour les cybercriminels nord-coréens : le montant des vols atteint un record et le blanchiment d'argent montre un cycle d'environ 45 jours

Alors que l'industrie de la cryptographie connaît une croissance rapide, les menaces de sécurité deviennent également plus complexes. En particulier, le vol d'actifs cryptographiques par des groupes de hackers nord-coréens a atteint un niveau record en 2025. Selon la dernière analyse de Chainalysis, cette année a non seulement secoué l'ensemble du secteur, mais a également mis en évidence une sophistication accrue des méthodes d'attaque des attaquants.

### Montant record du vol : plus de 2,02 milliards de dollars de pertes

En 2025, les cryptomonnaies volées par des hackers nord-coréens ont atteint au moins 2,02 milliards de dollars, enregistrant une augmentation de 51 % par rapport à 2024. Par ailleurs, le montant total des vols cumulés dépasse désormais 6,75 milliards de dollars.

Fait intéressant, bien que le nombre d'attaques ait diminué, le montant moyen par incident a considérablement augmenté. Cette tendance suggère que les hackers ont adopté une stratégie de « petite équipe d'élite ». En réduisant le nombre d'attaques, ils ciblent des cibles plus importantes et volent davantage d'actifs à chaque fois.

Selon les données, entre janvier et début décembre 2025, plus de 3,4 milliards de dollars ont été volés dans l'ensemble de l'industrie cryptographique, dont plusieurs grands incidents de hacking représentent 69 % des pertes totales. La différence entre le plus grand vol et la perte moyenne par incident s'est considérablement creusée, atteignant un rapport de 1000 fois.

### Évolution des techniques d'attaque : de l'infiltration interne à la fraude par adoption

La raison pour laquelle les hackers nord-coréens restent la plus grande menace pour l'industrie cryptographique ne réside pas uniquement dans leur compétence technique. Leurs méthodes d'attaque évoluent avec le temps, passant à des approches plus socialement ingénieuses.

Traditionnellement, les hackers se contentaient de postuler à un emploi pour s'infiltrer en tant qu'employés, puis d'obtenir un accès privilégié. Aujourd'hui, ils adoptent des stratégies plus sophistiquées : se faire passer pour des recruteurs de sociétés Web3 ou IA, et mener de faux processus de recrutement pour les candidats. Ils volent ainsi des identifiants de connexion, du code source, voire des accès VPN à l'entreprise.

Pour cibler les cadres supérieurs, ils se font passer pour des investisseurs ou des acquéreurs potentiels, extrayant des informations confidentielles lors de réunions stratégiques ou de due diligence. Ces stratégies d'attaque à plusieurs niveaux démontrent que la Corée du Nord n'est pas seulement une menace technique, mais un État de cybercriminalité organisé.

### Modèle unique de blanchiment d'argent : cycle de 45 jours

La rapidité et l'efficacité avec lesquelles les fonds volés sont convertis en liquidités sont tout aussi cruciales pour les hackers. Les activités de blanchiment d'argent de la Corée du Nord suivent un schéma distinct de celui d'autres groupes criminels.

Particulièrement notable est leur forte dépendance aux services de blanchiment en chinois et aux courtiers OTC. Cela suggère une collaboration étroite entre les hackers nord-coréens et des réseaux illégaux en Asie-Pacifique. De plus, l'utilisation de ponts cross-chain et de protocoles de mixage est fréquente, adoptant une approche multi-étapes pour rendre la traçabilité difficile.

Selon l'analyse, après un grand incident de vol, les fonds volés passent par un cycle structuré de blanchiment d'environ 45 jours :

**Première étape (0 à 5 jours) : dispersion immédiate**
Les premiers jours, les attaquants transfèrent les fonds volés vers des protocoles DeFi ou des services de mixage. L'activité dans cette phase triple généralement par rapport à la normale.

**Deuxième étape (6 à 10 jours) : intégration initiale**
Les fonds sont transférés vers des plateformes de trading ou des CEX avec des exigences KYC faibles. Parallèlement, les ponts cross-chain sont exploités pour disperser les fonds entre plusieurs blockchains.

**Troisième étape (20 à 45 jours) : étape finale**
Les fonds sont concentrés dans des services permettant leur conversion en liquidités. Les plateformes en chinois et les services de collatéralisation sont largement utilisés. À ce stade, les fonds sont déjà mélangés avec des actifs légitimes.

Ce schéma, répété sur plusieurs années, indique que la Corée du Nord fait face à des contraintes opérationnelles. L'accès limité aux infrastructures financières et la dépendance à certains intermédiaires pourraient expliquer cette chronologie prévisible.

### Menace accrue pour les utilisateurs individuels

Alors que les mesures de sécurité se renforcent, les attaques contre les portefeuilles personnels augmentent également. En 2025, le nombre d'incidents de vol a explosé à 158 000, soit près de trois fois plus qu'en 2022 avec 54 000 cas. Le nombre de victimes est passé de 40 000 à 80 000.

Fait intéressant, bien que le nombre total de vols ait augmenté, le montant moyen par incident a diminué. Par rapport à 2024, où les pertes s’élevaient à 1,5 milliard de dollars, en 2025, le total des pertes est de 713 millions de dollars. Cela suggère une modification de la stratégie des attaquants : cibler largement les utilisateurs individuels tout en extrayant moins par incident.

Selon l’analyse par blockchain, les taux de vol sont particulièrement élevés sur Ethereum et Tron. La concentration des pertes sur Ethereum s'explique par le grand nombre d’utilisateurs, tandis que Tron, avec un nombre d’utilisateurs relativement faible, affiche également un taux de vol élevé.

### Amélioration de la sécurité DeFi : cas de réussite exceptionnel

Un phénomène intéressant est l’amélioration de la sécurité dans le secteur DeFi. Malgré une forte reprise de la valeur totale verrouillée (TVL), les pertes dues aux hacks restent faibles. Cela indique que les protocoles DeFi ont adopté des mesures de sécurité efficaces.

Un exemple notable est l’incident du protocole Venus en septembre 2025. Les attaquants ont obtenu un accès au système via un client Zoom compromis, tentant de donner à des utilisateurs une autorisation de délégation de 13 millions de dollars. Cependant, la plateforme de surveillance de sécurité récemment déployée par Venus a détecté une activité suspecte, et l’attaque a été repérée 18 heures avant.

La réponse a été rapide : le protocole a été suspendu en moins de 20 minutes, partiellement restauré en 5 heures, et la position de l’attaquant liquidée en 7 heures, avec tous les fonds volés récupérés en 12 heures. De plus, Venus a adopté une proposition de gouvernance pour geler 3 millions de dollars d’actifs encore sous contrôle de l’attaquant.

Cet incident illustre une évolution concrète de l’infrastructure de sécurité DeFi. La surveillance proactive, la réactivité rapide et une gouvernance efficace permettent de construire des systèmes robustes, différents de ceux de l’ère initiale de la DeFi.

### Défis pour 2026 : dépasser la loi de Willie Sutton

La diminution des attaques nord-coréennes en 2025 ne signifie pas une réduction des menaces. Au contraire, cela indique que celles-ci deviennent plus difficiles à détecter et plus sophistiquées. La baisse de 74 % des attaques connues, alors que le montant volé atteint un record, suggère qu’une activité non détectée en amont pourrait exister en plus grand nombre.

Les activités de hackers nord-coréens ne se limitent pas à la recherche de profits financiers. Elles s’inscrivent dans une stratégie de financement national et d’évitement des sanctions internationales. Leur mode opératoire diffère fondamentalement de celui des criminels traditionnels.

Pour l’industrie cryptographique, le défi de 2026 sera d’améliorer la détection et la prévention de ces attaques hautement organisées. La reconnaissance des modèles de blanchiment propres à la Corée du Nord, la prévention de l’infiltration interne et le renforcement des contre-mesures contre les attaques social engineering seront des priorités urgentes.