Incidents associés
Les jeunes développeurs s'éclatent. Ils débouchent des bouteilles de vin mousseux, dégustent des steaks, jouent au football ensemble et se prélassent dans une luxueuse piscine privée. Toutes ces activités sont immortalisées sur des photos qui ont ensuite été publiées en ligne. Sur l'une d'elles, un homme pose devant une silhouette en carton grandeur nature des Minions. Malgré leur exubérance, il ne s'agit pas d'entrepreneurs prospères de la Silicon Valley ; ce sont des informaticiens du royaume ermite de Corée du Nord qui infiltrent des entreprises occidentales et envoient leurs salaires chez eux.
Deux membres d'un groupe de développeurs nord-coréens, qui auraient opéré depuis le Laos, un pays d'Asie du Sud-Est, avant d'être relocalisés en Russie début 2024, sont aujourd'hui identifiés par des chercheurs de la société de cybersécurité DTEX. Les hommes, que DTEX soupçonne d'avoir utilisé les noms de « Naoki Murano » et « Jenson Collins », auraient été impliqués dans la collecte de fonds pour le régime brutal nord-coréen dans le cadre de l'épidémie généralisée de travailleurs informatiques. Murano aurait déjà été lié à un braquage de 6 millions de dollars au sein de la société de cryptomonnaie DeltaPrime l'année dernière. Depuis des années, la Corée du Nord de Kim Jong-un représente l'une des menaces les plus sophistiquées et les plus dangereuses pour l'Occident. pays et entreprises, avec ses pirates informatiques volant la propriété intellectuelle nécessaire au développement de sa propre technologie, en plus de piller des milliards de crypto pour échapper aux sanctions et créer des armes nucléaires. En février, le FBI a annoncé que la Corée du Nord avait réussi le plus gros vol de cryptomonnaies de tous les temps, volant 1,5 milliard de dollars à la bourse de cryptomonnaies Bybit. Aux côtés de ses pirates informatiques expérimentés, les informaticiens de Pyongyang, souvent basés en Chine ou en Russie, incitent les entreprises à les embaucher à distance et constituent une menace croissante.
« Ce que nous faisons ne fonctionne pas, et si cela fonctionne, ce n'est pas assez vite », déclare Michael « Barni » Barnhart, éminent chercheur nord-coréen en cybersécurité et chercheur principal au DTEX. Outre l'identification de Murano et Collins, DTEX, dans un rapport détaillé sur les cyberactivités nord-coréennes, publie également plus de 1 000 adresses e-mail qui, selon lui, seraient liées aux activités d'informaticiens nord-coréens. Cette divulgation constitue l'une des plus importantes à ce jour concernant les activités d'informaticiens nord-coréens.
Les vastes cyberopérations de la Corée du Nord ne peuvent être comparées à celles d'autres nations hostiles, comme la Russie et la Chine, explique Barnhart dans le rapport DTEX, car Pyongyang fonctionne comme un « syndicat du crime sanctionné par l'État » plutôt que comme des opérations militaires ou de renseignement plus traditionnelles. Tout est motivé par le financement du régime, le développement d'armes et la collecte d'informations, explique Barnhart. « Tout est lié d'une manière ou d'une autre. » Les Misfits s'installent
Vers 2022 et 2023, DTEX affirme que Naoki Murano et Jenson Collins – leurs vrais noms sont inconnus – étaient tous deux basés au Laos et voyageaient également entre Vladivostok et la Russie. Ils sont apparus parmi un groupe plus large de Nord-Coréens potentiels au Laos, et une cache de leurs photos a d'abord été exposée dans un dossier Dropbox ouvert. Les photos ont été découvertes par un collectif de chercheurs nord-coréens qui collaborent souvent avec Barnhart et se qualifient d'alliance « Misfit ». Ces dernières semaines, ils ont publié en ligne de nombreuses images de prétendus informaticiens nord-coréens.
Les informaticiens nord-coréens sont très actifs et tentent souvent d'infiltrer plusieurs entreprises simultanément en utilisant des identités volées ou en créant de faux profils pour paraître légitimes. Certains utilisent des plateformes indépendantes ; d'autres tentent de recruter des facilitateurs internationaux pour gérer des parcs d'ordinateurs portables. Même si leurs identités en ligne sont peut-être fictives, ce pays – où des millions de personnes ne bénéficient pas des droits fondamentaux ni d'accès à Internet – oriente des enfants talentueux vers son système éducatif où ils peuvent devenir des développeurs et des hackers qualifiés. Cela signifie que nombre d'informaticiens et de hackers se connaissent probablement, peut-être depuis leur enfance. Malgré leurs compétences techniques, ils laissent souvent des traces numériques dans leur sillage. Murano a été lié pour la première fois publiquement aux opérations nord-coréennes par l'enquêteur sur les cryptomonnaies ZachXBT, qui a publié les noms, les détails des portefeuilles de cryptomonnaies et les adresses e-mail de plus de 20 travailleurs informatiques nord-coréens l'année dernière. Murano a ensuite été lié au braquage de DeltaPrime dans un reportage de Coinbase en octobre. Des membres du collectif Misfits ont partagé des photos de Murano l'air satisfait de lui-même en train de manger un steak ainsi qu'une photo d'un prétendu passeport japonais.
Par ailleurs, Collins, que DTEX a inclus dans son rapport et qui figurait sur des photos de piscine dans le dossier Dropbox, effectuait principalement des tâches informatiques génératrices de revenus pour Pyongyang, explique Narcass3, un membre des Misfits qui a demandé à être identifié par son pseudonyme en ligne. « Il semble avoir principalement travaillé sur des projets crypto/blockchain, dont un qui semble être entièrement soutenu par la RPDC ou principalement composé d'informaticiens », explique narcass3.
Evan Gordenker, consultant senior manager au sein de l'équipe de renseignement sur les menaces Unit 42 de la société de cybersécurité Palo Alto Networks, affirme connaître les deux profils identifiés par DTEX et d'autres médias, ainsi que le groupe d'informaticiens nord-coréens basés au Laos. Le groupe diffusait de nombreuses candidatures, créait de faux profils et recherchait des complices potentiels, explique le chercheur. « Il me semblait qu'ils bénéficiaient également d'un niveau d'autonomie que l'on ne retrouve pas chez certains groupes [d'informaticiens] », précise Gordenker. « Je ne sais pas si c'est parce qu'ils généraient plus d'argent et obtenaient plus de privilèges, ou simplement parce qu'ils avaient un responsable qui agissait de cette manière. »
Une adresse e-mail au nom de Murano a été renvoyée lorsque WIRED l'a contacté. Entre-temps, une adresse e-mail au nom de Collins n'a pas répondu à une demande de commentaire.
Dissimulés à la vue de tous
Les informaticiens de Pyongyang sont en activité depuis près d'une décennie, mais l'attention portée à leurs activités s'est intensifiée ces 12 derniers mois, les entreprises du Fortune 500 ayant réalisé qu'elles avaient embauché par inadvertance des Nord-Coréens. Le régime de Kim Jong-un impose des « quotas de revenus » aux équipes de pirates informatiques et d'informaticiens, selon Barnhart, et ces derniers opèrent au sein de plusieurs services militaires et de renseignement nord-coréens. Un informaticien gagnant 5 000 dollars par mois pourrait en conserver 200, selon l'enquêteur.
Des informaticiens malveillants, susceptibles de voler tout en gagnant de l'argent, font partie du Centre de recherche 227, récemment révélé, qui fait partie du Bureau général de reconnaissance, l'agence de renseignement principale du pays. D'autres font partie d'équipes du ministère de la Défense nationale, selon un organigramme cybernétique publié par Barnhart dans le rapport DTEX. Les informaticiens qui cherchent uniquement à générer des revenus pourraient faire partie du Département de l'industrie des munitions, selon l'étude. La récente intensification de la surveillance des informaticiens s'inscrit dans un contexte de répression croissante du gouvernement américain : en mai 2023, le gouvernement a sanctionné la société nord-coréenne Chinyong Information Technology Cooperation Company pour avoir employé des informaticiens au Laos et en Russie. Au début de l'année, deux sociétés écrans nord-coréennes et leurs dirigeants basés en Chine et au Laos ont été sanctionnés par le département du Trésor américain. Le Trésor a déclaré que les groupes d'informaticiens rapportaient des « centaines de millions de dollars » au régime, et que des milliers d'informaticiens étaient déployés dans le monde entier.
« Les informaticiens jouent sur les chiffres et postulent massivement à des postes à distance », explique Rafe Pilling, directeur du renseignement sur les menaces au sein de l'unité de lutte contre les menaces de Sophos. Cela signifie qu'ils commettent souvent des erreurs. « Ils semblent fonctionner à un rythme tel qu'ils peuvent commettre des erreurs, comme laisser des dépôts Github de CV et d'outils accessibles au public, laisser des commentaires dans le code et les scripts, commettre des erreurs dans les CV qui les rendent plus faciles à repérer comme des faux, et commettre des erreurs devant la caméra lors des entretiens qui peuvent révéler des subterfuges. »
Outre l'identification de Murano et Collins, DTEX a également publié plus de 1 000 adresses e-mail prétendument liées aux activités d'informaticiens nord-coréens, recueillies grâce à des enquêtes et à la collaboration avec des chercheurs. Chaque adresse e-mail a été fournie par plusieurs sources, précise Barnhart. Une analyse par WIRED de près d'une vingtaine d'e-mails, utilisant des outils de renseignement open source et une base de données de documents divulgués en ligne, montre que peu d'entre eux semblent présenter des signes de comportement en ligne authentique ; certaines adresses e-mail sont liées à des outils de développement en ligne ou à des sites web de freelance, tandis que d'autres ont très peu de présence en ligne.
« On observe une réutilisation fréquente des profils, et certains d'entre eux durent des années et des années », explique Gordenker de l'Unité 42. D'autres peuvent n'être utilisés qu'une seule fois, explique Gordenker, mais les escrocs peuvent rapidement créer de nouveaux profils si nécessaire. « Vous verrez qu'un profil qui fonctionne, par exemple, peut parfois occuper quatre, cinq ou six emplois différents au cours de sa vie. »
À mesure que de plus en plus de travailleurs informatiques sont identifiés, ils adoptent de plus en plus de tactiques pour se rendre plus difficiles à repérer. Plusieurs chercheurs en cybersécurité ont découvert que des Nord-Coréens utilisaient des logiciels de changement de visage lors d'entretiens vidéo ou des assistants d'intelligence artificielle pour répondre aux questions en temps réel.
Changer de visage
L'employé informatique se tient au milieu de la pièce exiguë et pose pour sa photo. Une horloge murale indique 11 h 30. À l'arrière-plan, trois autres hommes en uniforme militaire sont penchés sur des ordinateurs. Un étendoir à linge apparaît au fond de la pièce sur la photo, initialement publiée par DTEX. « Cette image est riche en informations », explique Barnhart.
Barnhart explique que, même si l'on ignore beaucoup de choses sur cette photo, elle révèle certains détails sur le fonctionnement du groupe d'informaticiens. L'un des hommes, à l'extrême droite de la photo, semble avoir des messages WhatsApp ouverts sur son écran d'ordinateur, avec plusieurs conversations en cours. Une caméra de surveillance est fixée au mur au-dessus de lui.
« Le MSS les surveille pour éviter qu'ils ne fassent défection », explique Barnhart, faisant référence au ministère de la Sécurité d'État, l'agence de contre-espionnage et de police secrète nord-coréenne. Comme ces hommes travaillent dans un espace de travail exigu, ils sont susceptibles d'être placés en bas de l'échelle hiérarchique des informaticiens et, comme leurs compatriotes, seront également soumis à une surveillance numérique lorsqu'ils utilisent leurs ordinateurs, précise-t-il. Barnhart affirme qu'un logiciel qu'il a vu surveille ce que les informaticiens tapent et envoient sur leurs appareils. « Ils détestent ça », dit-il. « Il envoie des alertes à des serveurs externes dès qu'il est question d'images ou de contenus à caractère sexuel ou de Kim Jong-un. » D'autres chercheurs ont repéré des informaticiens suspectés de terminer des entretiens d'embauche [https://www.theregister.com/2025/04/29/north_korea_worker_interview_questions/] lorsqu'on leur a posé une variante de la question : « Quel est le poids de Kim Jong-un ? »
Si l'emplacement des hommes présents dans la pièce reste incertain, certains indices suggèrent que le portrait du sujet principal a été utilisé pour créer une fausse identité. Des images ultérieures, obtenues par Barnhart, montrent l'homme retouché, habillé différemment et transformé en une illustration de son visage façon dessin animé.
« On le voit jouer avec sa ligne de cheveux. On le voit modifier ses traits, on le voit préparer ses profils », explique Barnhart. L'une de ces photos, où il est retouché et habillé d'une veste en cuir, apparaît sur le site web de « Benjamin Martin », un développeur web3 et full-stack autoproclamé.
Outre le fait qu'il semble être le Nord-Coréen sur la photo de l'informaticien, deux des entreprises figurant sur le CV en ligne de Martin affirment à WIRED ne pas avoir entendu parler de ce personnage, et encore moins l'avoir employé. L'une d'elles a déclaré ne pas avoir été pleinement intégrée pendant la majeure partie de la période où le personnage de Martin indiquait qu'il y travaillait. Martin n'a pas répondu aux messages envoyés à l'adresse e-mail indiquée sur la page web du développeur, tandis qu'un compte Telegram lié à un numéro de téléphone sur le site web de Martin a répondu « oui » lors d'un échange limité en chinois lorsqu'on lui a demandé s'il s'agissait d'un informaticien nord-coréen.
En fin de compte, selon Barnhart, il est essentiel de comprendre le fonctionnement des hackers et des informaticiens nord-coréens, avec la fluidité des groupes et des approches, avant que leurs activités ne soient significativement perturbées. « Nous devons nous recentrer, nous devons nous remodeler », affirme Barnhart. « La Corée du Nord est déjà passée à l'étape suivante et maintenant, elle sous-traite, créant ainsi une nouvelle couche d'obscurcissement. »