Incidents associés
Le ministère américain de la Justice (DoJ) a annoncé avoir déposé une plainte pour confiscation civile devant un tribunal fédéral visant plus de 7,74 millions de dollars en cryptomonnaies, jetons non fongibles (NFT) et autres actifs numériques, prétendument liés à un système mondial de recrutement de travailleurs informatiques orchestré par la Corée du Nord.
« Pendant des années, la Corée du Nord a exploité les contrats informatiques à distance et les écosystèmes mondiaux de cryptomonnaies pour échapper aux sanctions américaines et financer ses programmes d'armement », a déclaré Sue J. Bai, directrice de la division de la sécurité nationale du ministère de la Justice. Le ministère de la Justice a déclaré que les fonds avaient été initialement bloqués dans le cadre d'une inculpation d'avril 2023 contre Sim Hyon-Sop, un représentant de la Banque nord-coréenne du commerce extérieur (FTB), soupçonné d'avoir conspiré avec les informaticiens.
Les informaticiens, a ajouté le ministère, ont obtenu un emploi dans des sociétés américaines de cryptomonnaies en utilisant de fausses identités, puis ont blanchi leurs gains mal acquis par l'intermédiaire de Sim afin de promouvoir les objectifs stratégiques de Pyongyang, en violation des sanctions imposées par l'Office of Foreign Assets Control (OFAC) du Trésor américain et les Nations Unies.
Ce stratagème frauduleux s'est transformé en une opération de grande envergure depuis ses débuts en 2017. Cette opération d'emploi illégal s'appuie sur une combinaison d'identités volées et fictives, à l'aide d'outils d'intelligence artificielle (IA) comme OpenAI ChatGPT, pour contourner les contrôles préalables et décrocher des emplois en freelance.
Suivie sous les pseudonymes Wagemole et UNC5267, cette activité est considérée comme affiliée au Parti des travailleurs de Corée et comme une stratégie méthodique visant à intégrer des informaticiens au sein d'entreprises légitimes afin de générer des revenus stables pour la République populaire démocratique de Corée (RPDC).
Outre la falsification d'identités et de localisations, un aspect essentiel de l'opération consiste à recruter des facilitateurs pour gérer des fermes d'ordinateurs portables à travers le monde, permettre des entretiens vidéo et blanchir les profits via divers comptes.
L'une de ces facilitatrices de fermes d'ordinateurs portables était Christina Marie Chapman, qui a plaidé coupable début février pour son implication dans ce système de récupération de revenus illicites. Dans un rapport publié le mois dernier, le Wall Street Journal a révélé (https://www.wsj.com/business/north-korea-remote-jobs-e4daa727) comment un message LinkedIn publié en mars 2020 a entraîné Chapman, une ancienne serveuse et massothérapeute comptant plus de 100 000 abonnés sur TikTok, dans cette escroquerie complexe. Sa condamnation est prévue le 16 juillet.
« Après avoir blanchi ces fonds, les informaticiens nord-coréens les auraient renvoyés au gouvernement nord-coréen, parfois par l'intermédiaire de Sim et Kim Sang Man », a déclaré le ministère de la Justice. « Kim, de nationalité nord-coréenne, est le PDG de Chinyong, également connue sous le nom de Jinyong IT Cooperation Company. »
Une analyse du portefeuille de cryptomonnaies de Sim par TRM Labs a révélé que celui-ci a reçu plus de 24 millions de dollars en cryptomonnaies entre août 2021 et mars 2023.
| [
]( (https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEBFHpT3Raa9hroga28HZEB2l84O4P98xBA4EvdFEWr0zv8BcOT2SHD4RiPoxFJQxizqFf3SYtodL0efZQEpFCpNhheB-Fqb21am3gg1YedrB0PZvuYIRseV4wxrmyU_X5Zq6eoHstO_XUwnSTGPWMAx0fn3CW5gK2lUrI_kMrLKojpteXjIY-0dsjbdyQ/s3600/north.jpg)
Nord Évaluation organisationnelle de la Corée
« La plupart de ces fonds ont été retracés jusqu'aux comptes de Kim, ouverts à l'aide de faux documents d'identité russes et accessibles depuis des appareils en coréen fonctionnant depuis les Émirats arabes unis et la Russie », a déclaré TRM Labs (https://www.trmlabs.com/resources/blog/doj-seeks-forfeiture-of-7-7-million-in-cryptocurrency-tied-to-north-korean-it-worker-laundering-network). « Sim, un responsable nord-coréen, opérait depuis Dubaï et gérait un portefeuille auto-hébergé qui recevait des fonds blanchis provenant de dizaines de sources. »
Depuis sa base de Vladivostok, en Russie, Kim servait d'intermédiaire entre les informaticiens et FTB, utilisant deux comptes pour collecter des fonds et redistribuer les bénéfices à Sim et à d'autres portefeuilles liés à la Corée du Nord.
L'entreprise de cybersécurité DTEX a caractérisé la menace posée par les informaticiens comme un syndicat du crime soutenu par l'État, principalement axé sur le contournement des sanctions et la génération de profits. Les acteurs malveillants abandonnent progressivement les parcs d'ordinateurs portables pour utiliser leurs propres machines dans le cadre des politiques BYOD (Bring Your Own Device) des entreprises.
« L'opportunité est vraiment leur seule tactique et tout est traité comme un outil », a déclaré Michael Barnhart, enquêteur principal i3 Insider Risk chez DTEX Systems, à The Hacker News.
« Si l'accent est mis sur les parcs d'ordinateurs portables, ce qui a été très efficace pour faire connaître ce phénomène, alors naturellement, cette nation opportuniste cherche à se déplacer là où la voie est beaucoup plus facile si cela impacte les opérations. Tant que les parcs d'ordinateurs portables ne seront plus du tout efficaces, cela restera une option, mais les abus du BYOD étaient un phénomène que DTEX avait constaté lors d'enquêtes et qui n'avait pas été autant médiatisé que les parcs. »
DTEX a également souligné que ces informaticiens pouvaient appartenir à deux catégories : les informaticiens à but lucratif (R-ITW) et les informaticiens malveillants (M-ITW), chacune ayant sa propre fonction au sein de la cyberstructure nord-coréenne.
Si les R-ITW sont considérés comme moins privilégiés et principalement motivés par l'appât du gain pour le régime, les acteurs M-ITW vont au-delà de la simple génération de revenus : ils extorquent un client, sabotent un serveur de cryptomonnaie, volent de la propriété intellectuelle précieuse ou exécutent du code malveillant dans un environnement.
Chinyong, selon le cabinet de gestion des risques internes, est l'une des nombreuses entreprises informatiques qui ont déployé leurs employés pour effectuer à la fois des missions informatiques indépendantes et des vols de cryptomonnaies, en exploitant leur accès privilégié à des projets blockchain. Elle opère depuis la Chine, le Laos et la Russie.
Deux individus associés aux activités des informaticiens de Chinyong ont été démasqués. Ils auraient utilisé les identités de Naoki Murano et Jenson Collins pour lever des fonds pour la Corée du Nord. Murano avait déjà été impliqué dans un braquage de 6 millions de dollars chez DeltaPrime, une entreprise de cryptomonnaies, en septembre 2024.
« En fin de compte, la détection de fermes d'ordinateurs portables et de stratagèmes de télétravail liés à la RPDC exige que les défenseurs des données regardent au-delà des indicateurs traditionnels de compromission et commencent à se poser des questions différentes : sur l'infrastructure, le comportement et l'accès », a déclaré Matt Ryan, chercheur en sécurité (https://mattysplo.it/2025/06/13/laptopfarms.html). « Ces campagnes ne se limitent pas aux logiciels malveillants ou au phishing ; il s'agit de tromperies à grande échelle, souvent menées de manière à s'intégrer parfaitement au télétravail légitime. » Une enquête plus approfondie sur cette fraude tentaculaire de plusieurs millions de dollars a révélé plusieurs comptes liés à de faux domaines créés pour diverses sociétés écrans utilisées pour fournir de fausses références aux informaticiens. Ces comptes étaient infectés par Flashpoint noté, un logiciel malveillant de vol d'informations qui lui a permis de signaler certains aspects de leur activité.
L'entreprise a déclaré avoir identifié un hôte compromis situé à Lahore, au Pakistan, contenant les identifiants enregistrés d'un compte de messagerie utilisé comme point de contact lors de l'enregistrement des domaines associés à Baby Box Info, Helix US et Cubix Tech US.
De plus, l'historique de navigation capturé par le logiciel malveillant a permis de dévoiler des URL Google Traduction liées à des dizaines de traductions entre l'anglais et le coréen, notamment celles liées à la fourniture de fausses références professionnelles et à l'expédition d'appareils électroniques.
Ce n'est pas tout. Des recherches récentes ont également mis au jour un « système de contrôle à distance multicouche et secret » utilisé par des informaticiens nord-coréens pour établir un accès permanent aux ordinateurs portables de l'entreprise dans une ferme d'ordinateurs portables, tout en étant physiquement situés en Asie.
« L'opération a exploité une combinaison de signalisation de protocole de bas niveau et d'outils de collaboration légitimes pour maintenir l'accès à distance et permettre la visibilité et le contrôle des données via Zoom », a déclaré Sygnia (https://www.sygnia.co/blog/unmasking-north-korean-it-farm/) dans un rapport publié en avril 2025. « La chaîne d'attaque […] impliquait l'utilisation abusive de paquets ARP pour déclencher des actions basées sur des événements, un canal de commande et de contrôle (C2) personnalisé basé sur WebSocket et l'automatisation des fonctionnalités de contrôle à distance de Zoom. » Pour améliorer encore la discrétion et l'automatisation, des configurations spécifiques du client Zoom étaient nécessaires. Les paramètres ont été ajustés avec soin afin d'éviter les indicateurs visibles par l'utilisateur et les perturbations audiovisuelles. Les utilisateurs étaient connectés en permanence, la vidéo et l'audio étaient automatiquement coupés lors de la connexion, les noms des participants étaient masqués, le partage d'écran était lancé sans indicateurs visibles et les fenêtres d'aperçu étaient désactivées.
Ryan a émis l'hypothèse que le système de contrôle à distance Zoom est probablement utilisé en conjonction avec des Raspberry Pi Zeros à bas prix pour C2 sur le réseau local (LAN) du parc d'ordinateurs portables afin de permettre un accès à distance à grande échelle et de simuler des interactions utilisateur réelles sur des dizaines d'appareils.
En complément de Wagemole, une autre campagne appelée Contagious Interview (alias DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 et Void Dokkaebi) mène principalement des activités malveillantes ciblant les développeurs pour obtenir un accès non autorisé à l'entreprise plutôt que pour obtenir un emploi.
« Franchement, Gwisin Gang est composé de travailleurs informatiques qui, au lieu de postuler à un emploi, ciblent quelqu'un qui l'occupe déjà », a déclaré Barnhart. « Ils semblent exceptionnels et uniques, car leur utilisation de logiciels malveillants fait également écho à cette notion. Le terme « travailleurs informatiques » est cependant général, et il existe une grande variété de styles, de variétés et de niveaux de compétences parmi eux. »
Quant à l'évolution possible du système de recrutement des travailleurs informatiques dans les années à venir, Barnhart pointe le secteur financier traditionnel comme cible.
« Avec l'intégration des technologies blockchain et Web3 dans les institutions financières traditionnelles, je pense que tous les cyberactifs de la RPDC dans ce secteur vont chercher à s'attaquer à ces entreprises, comme cela s'est produit par le passé », a souligné Barnhart. « Plus nous intégrons ces technologies, plus nous devons être prudents, car la RPDC est très implantée. »