Une attaque de phishing massive liée à la Corée du Nord a permis de dérober plus de 137 millions de dollars en crypto-monnaies sur le réseau TRON en une seule journée. Ce type d’attaque, de plus en plus courant, souligne la nécessité de renforcer la cybersécurité dans le secteur Web3, un domaine régulièrement pris pour cible par des groupes de pirates nord-coréens spécialisés dans le vol de portefeuilles numériques et de données sensibles liées aux cryptomonnaies.
Des groupes de pirates liés à la Corée du Nord ciblent la blockchain
Des cyberattaques au service du financement militaire nord-coréen
Selon un rapport de Mandiant, filiale de Google spécialisée en cybersécurité, plusieurs groupes de menaces APT (Advanced Persistent Threats) affiliés à la Corée du Nord, comme UNC1069, UNC4899 et UNC5342, mènent depuis plusieurs années des attaques ciblant les développeurs d’applications blockchain et les organisations actives dans le Web3. L’objectif est clair : détourner des actifs numériques afin de financer les programmes d’armement et le développement stratégique de Pyongyang.
Les cybercriminels déploient des outils sur mesure écrits en Golang, C++ ou Rust, capables d’infecter des appareils fonctionnant sous Windows, Linux et macOS. Cette diversité technologique témoigne d’une organisation structurée et très expérimentée, capable de s’adapter pour contourner les protections classiques.
Phishing massif des utilisateurs de TRON et Solana
Un cluster désigné comme UNC3782 a été identifié comme responsable d’une attaque de phishing à grande échelle menée en 2023 contre des utilisateurs du réseau TRON. En une seule journée, plus de 137 millions de dollars ont été transférés vers des portefeuilles contrôlés par les pirates. En 2024, ces attaques ont évolué pour cibler la blockchain Solana, en orientant les utilisateurs vers de faux sites intégrant des extracteurs de cryptomonnaies frauduleux.
Une stratégie globale d’infiltration et de déstabilisation numérique
Les faux développeurs nord-coréens recrutés à distance
Depuis 2022, le groupe UNC5267 est connu pour avoir envoyé des milliers de ressortissants nord-coréens dans des entreprises basées aux États-Unis, en Europe et en Asie. Ces individus sont employés à distance, souvent via de fausses identités numériques, dans le but de générer des revenus destinés à la Corée du Nord ou d’infiltrer les infrastructures informatiques des entreprises occidentales.
Certains travailleurs ont utilisé des deepfakes en temps réel pour créer de faux entretiens d’embauche, rendant leur détection extrêmement difficile. Grâce à cette technique, un même agent peut postuler à plusieurs reprises sous d’autres identités, réduisant sa traçabilité. Une situation qui rappelle la portée redoutable des menaces internes dans le monde du travail à distance.
De l’accès interne au sabotage de réseaux d’entreprise
Des rapports mettent en lumière une escalade des actions : ces faux employés nord-coréens ne se contentent plus de détourner des salaires. Ils exploitent désormais leur accès privilégié aux serveurs et environnements cloud des entreprises pour lancer des attaques à plus grande échelle, voler des données sensibles, voire exercer des pressions et tentatives d’extorsion sur leurs employeurs.
Face à ces comportements malveillants, une solution éducative existe : se former à la cybersécurité offensive pour mieux comprendre et anticiper les techniques des attaquants. Le livre pour hacker proposé par CyberCare est une ressource précieuse pour apprendre à hacker, renforcer ses connaissances en sécurité offensive et mieux se défendre contre les menaces issues d’acteurs étatiques.
Conclusion
Ces attaques sophistiquées démontrent combien les groupes liés à la Corée du Nord exploitent la blockchain et les failles humaines pour contourner les sanctions internationales. L’équipe CyberCare accompagne ses clients dans la protection contre les menaces APT et les attaques ciblées, en combinant expertise technique et formations stratégiques en cybersécurité.
