Un système de cryptographie nord-coréen révélé : 3,5 millions de dollars volés grâce à de fausses identités de développeur

Table des matières Le célèbre détective blockchain ZachXBT a publié cette semaine des informations confidentielles obtenues à partir d'un appareil piraté appartenant à un agent informatique nord-coréen, révélant un stratagème organisé de fraude à la cryptomonnaie qui a amassé plus de 3,5 millions de dollars en plusieurs mois. Les renseignements ont été fournis par un chercheur en sécurité anonyme qui a réussi à infiltrer l’un des ordinateurs des agents. ZachXBT a partagé son analyse sur X, expliquant comment environ 140 travailleurs, supervisés par un individu utilisant le pseudonyme « Jerry », généraient environ 1 million de dollars par mois en crypto-monnaie à partir de fin novembre 2024. 1/ Récemment, une source anonyme a partagé des données exfiltrées d'un serveur de paiement interne nord-coréen contenant 390 comptes, journaux de discussion et transactions cryptographiques. J'ai passé de longues heures à tout parcourir, dont aucun n'a jamais été rendu public. Cela a révélé un complexe… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 8 avril 2026 Les agents ont utilisé des identités fabriquées pour obtenir des postes technologiques à distance sur des sites d'emploi tels que Indeed. Les preuves ont révélé que Jerry soumettait des candidatures pour des opportunités de développement full-stack et d'ingénierie logicielle tout en utilisant Astrill VPN pour dissimuler sa localisation géographique. Dans un brouillon de correspondance découvert dans la violation, Jerry a occupé un poste de spécialiste WordPress et SEO dans une entreprise de fabrication de t-shirts basée au Texas, demandant une compensation de 30 $ de l'heure pour 15 à 20 heures hebdomadaires. Un deuxième agent identifié comme « Rascal » a utilisé des informations d’identification falsifiées et une adresse postale de Hong Kong sur des documents financiers. Les documents divulgués contenaient également des images d'un passeport irlandais attribué à Rascal, bien que son déploiement réel reste non vérifié. Le collectif gérait les transactions financières via un site Internet dédié identifié comme « luckyguys.site ». De nombreux comptes d'utilisateurs sur cette plateforme utilisaient le mot de passe par défaut rudimentaire « 123456 », démontrant d'importantes vulnérabilités de sécurité opérationnelle. La plateforme servait à la fois de canal de communication et de système de reporting. Les agents enregistraient leurs revenus et recevaient des directives via l'interface. Un compte administratif désigné PC-1234 validait les transactions et diffusait les informations d'identification pour les échanges de crypto-monnaie et les plateformes de technologies financières. Trois organisations référencées dans les données compromises – Sobaeksu, Saenal et Songkwang – font actuellement face à des sanctions de la part du Bureau américain de contrôle des avoirs étrangers. La monnaie numérique a été échangée contre de la monnaie traditionnelle en utilisant des institutions financières chinoises et des plateformes telles que Payoneer. Un portefeuille basé sur Tron lié au réseau a été immobilisé par Tether en décembre 2024. Les informations compromises ont également révélé que certains agents développaient des stratégies de vol. Les communications font référence à des projets visant à compromettre une initiative de blockchain appelée Arcano sur GalaChain en utilisant un intermédiaire nigérian, bien que la confirmation de l'exécution reste absente des données disponibles. Le personnel administratif a diffusé 43 modules éducatifs traitant des utilitaires d'ingénierie inverse, notamment Hex-Rays et IDA Pro, mettant l'accent sur les techniques de démontage, les procédures de débogage et l'examen des logiciels malveillants. L'ensemble de données complet comprenait 390 comptes d'utilisateurs, enregistrements de communication et activités de navigation. Les enquêteurs ont découvert 33 agents échangeant des messages via IPMsg au sein d'un environnement réseau unique. ZachXBT a observé que ce collectif démontrait des compétences techniques inférieures à celles d'autres unités de cybercriminalité nord-coréennes telles que AppleJeus et TraderTraitor. Les acteurs de la menace parrainés par l'État nord-coréen se sont approprié plus de 7 milliards de dollars au total depuis 2009. Ce groupe particulier était également lié à la faille de sécurité de 280 millions de dollars du protocole Drift survenue le 1er avril 2025.