DPRK: vols record de cryptomonnaies (1,34 Md$ en 2024, >1,5 Md$ au S1 2025), hack Bybit et infiltration d’employés IT

Source et contexte: CYFIRMA publie une analyse sur l’intensification des opérations cyber du DPRK après le veto russe ayant mis fin au Panel d’experts de l’ONU en avril 2024.

Faits saillants: 💰 Le DPRK a volé 1,34 Md$ en 2024 sur 47 incidents, et plus de 1,5 Md$ au premier semestre 2025, représentant la majorité des vols mondiaux de cryptomonnaies. Parmi ces opérations, figure le plus grand casse crypto connu (Bybit, 1,5 Md$), ainsi que des schémas d’infiltration systématique de travailleurs IT. Les fonds soutiendraient des programmes d’ADM et des campagnes de ciblage d’entreprises de défense.

Groupes et objectifs: Les acteurs Lazarus Group, Andariel et Kimsuky mènent ces campagnes, combinant vols de crypto, ingénierie sociale et exfiltration de technologies militaires. Les opérations s’appuient sur des leurres dopés à l’IA et un blanchiment cross-chain rapide à fort volume.

TTPs et outils observés:

• Exploits de blind signing et manipulation de ponts cross-chain 🔗
• Malware personnalisé DTrack et portes dérobées persistantes
• Lavage rapide multi-blockchains et mouvement latéral
• Ingénierie sociale via LinkedIn, compromission de comptes utilisateurs
• Infiltration d’IT workers avec deepfakes générés par IA, identités volées, VPN/VPS, laptop farms; usage d’outils IA (ChatGPT, FaceSwap, Microsoft Copilot) 🧠🤖
• Développements offensifs IA par Research Center 227
• Collaboration avec des groupes de ransomware comme Play

IOCs: Aucun indicateur technique (hash, IP, domaine) n’est fourni dans cet extrait.

Type d’article: analyse de menace visant à documenter les opérations, TTPs et impacts financiers attribués aux acteurs nord-coréens.

🧠 TTPs et IOCs détectés

TTPs

Exploits de blind signing, manipulation de ponts cross-chain, malware personnalisé DTrack, portes dérobées persistantes, lavage rapide multi-blockchains, mouvement latéral, ingénierie sociale via LinkedIn, compromission de comptes utilisateurs, infiltration d’IT workers avec deepfakes générés par IA, identités volées, VPN/VPS, laptop farms, usage d’outils IA (ChatGPT, FaceSwap, Microsoft Copilot), développements offensifs IA par Research Center 227, collaboration avec des groupes de ransomware comme Play

IOCs

Aucun indicateur technique (hash, IP, domaine) n’est fourni dans cet extrait.

---

🔗 Source originale : https://www.cyfirma.com/research/dprk-sanctions-violations-in-cyber-operations-post-un-panel-demise/

🖴 Archive : https://web.archive.org/web/20251010171324/https://www.cyfirma.com/research/dprk-sanctions-violations-in-cyber-operations-post-un-panel-demise/