Selon Chainalysis (billet de blog référencé), des travailleurs IT liés à la DPRK infiltrent des entreprises mondiales pour capter des revenus en cryptomonnaies, ensuite blanchis via des techniques on-chain avancées afin de financer des programmes d’armement.
L’enquête décrit un schéma où des opérateurs nord-coréens utilisent des identités fictives, des VPN et des technologies d’IA pour obtenir des missions et des postes, reçoivent des paiements en stablecoins (~5 000 USD/mois), puis recourent à des techniques d’obfuscation on-chain (dont chain hopping, DEX, bridges, smart contracts) pour couper les liens entre origine et destination. Des intermédiaires clés (ex. Chinyong, Sim Hyon Sop/KKBC, Lu Huaying, Kim Sang Man) facilitent la consolidation et la conversion en fiat. Des actions récentes d’OFAC (sanctions) et du DOJ (saisies d’actifs) illustrent l’application réglementaire.
Processus technique (multi-étapes) 💸🔗:
- (1) Paiements mensuels en stablecoins vers des adresses blockchain.
- (2) Obfuscation via chain hopping, swaps DEX, bridges et smart contracts pour dissocier les flux.
- (3) Layering avec d’autres produits criminels et transferts vers des comptes d’échanges (faux/légitimes) liés au régime.
- (4) Consolidation par des facilitateurs (ex. Kim Sang Man, Sim Hyon Sop, Lu Huaying) via wallets non hébergés et comptes d’échanges.
- (5) Conversion en fiat sur des échanges grand public via comptes frauduleux ou OTC non régulés.
Détection et traçabilité 🧭:
- L’analyse blockchain (outils comme Chainalysis Reactor) permet de tracer les flux à travers protocoles distribués, d’identifier des motifs de paiement et de relier des entités sanctionnées.
- Signaux de détection: flux de paiements irréguliers, usage d’infrastructures d’anonymisation (VPN), splitting de wallets, mouvements cross-chain.
- Indices RH/financiers: décalage géolocalisation–profil, demandes de paiement en stablecoins, tiers payeurs complexes, taux de rémunération sous le marché 🚩.
IOCs et TTPs:
- IOCs (identifiants nominatifs et entités): Chinyong, Sim Hyon Sop (KKBC), Kim Sang Man, Lu Huaying; entités liées: KKBC; organismes: OFAC, DOJ.
- TTPs: Usurpation d’identité, VPN/obfuscation, paiements en stablecoins, chain hopping, swaps via DEX, bridges cross-chain, smart contracts d’obfuscation, wallet splitting, layering, comptes d’échanges frauduleux, OTC non régulés; outil d’analyse: Chainalysis Reactor.
Il s’agit d’une analyse de menace visant à documenter le réseau de blanchiment crypto associé aux travailleurs IT de la DPRK et à exposer les schémas, acteurs et signaux permettant leur détection.
🧠 TTPs et IOCs détectés
TTPs
Usurpation d’identité, VPN/obfuscation, paiements en stablecoins, chain hopping, swaps via DEX, bridges cross-chain, smart contracts d’obfuscation, wallet splitting, layering, comptes d’échanges frauduleux, OTC non régulés
IOCs
Chinyong, Sim Hyon Sop (KKBC), Kim Sang Man, Lu Huaying, KKBC
🔗 Source originale : https://www.chainalysis.com/blog/dprk-it-workers-north-korea-crypto-laundering-networks-japanese/