Selon GBHackers Security, des cybercriminels nord-coréens ont établi un record en 2025 en volant au moins 2,02 milliards de dollars en cryptomonnaies, via une campagne sophistiquée attribuée à un acteur soutenu par un État.

L’article souligne que cette campagne représente l’année la plus fructueuse à ce jour pour le vol de cryptomonnaies par un acteur étatique nord-coréen, consolidant un cumul qui atteint désormais 6,75 milliards de dollars.

1) Constat clé

  • En 2025, des acteurs cyber affiliés à la Corée du Nord (DPRK) ont volé au moins 2,02 milliards de dollars en cryptomonnaies.
  • Cela représente :
    • +51 % par rapport à 2024,
    • 76 % de toutes les compromissions de services crypto en 2025.
  • Le total cumulé des vols crypto attribués à la DPRK atteint désormais 6,75 milliards de dollars, faisant du pays l’acteur dominant mondial du cybercrime crypto.

2) Moins d’attaques, mais beaucoup plus destructrices

  • Contrairement aux années précédentes :
    • le nombre d’attaques confirmées diminue,
    • mais leur impact financier explose.
  • Les plus grandes attaques en 2025 :
    • sont 1 000 fois supérieures au vol médian,
    • dépassent même les records du bull market de 2021.
  • Cette stratégie reflète un pivot assumé vers le “quality over quantity”.

3) Vecteurs d’attaque privilégiés

Les opérations nord-coréennes reposent principalement sur deux axes :

a) Infiltration par faux employés IT

  • Insertion d’agents DPRK comme employés dans :
    • exchanges,
    • services Web3,
    • projets blockchain.
  • Accès progressif à :
    • code source,
    • clés privées,
    • systèmes internes.

b) Ingénierie sociale avancée

  • Usurpation de recruteurs (Web3, IA) :
    • faux entretiens techniques,
    • récupération de credentials, accès VPN, dépôts Git.
  • Usurpation d’investisseurs ou d’acquéreurs :
    • fausses due diligences,
    • cartographie d’infrastructures critiques.

4) Blanchiment : un modèle étatique distinctif

Les flux on-chain montrent un schéma de blanchiment structuré sur 45 jours :

Phase 1 (jours 1–5)

  • +370 % d’activité DeFi
  • Utilisation massive de mixers et bridges pour casser la traçabilité.

Phase 2

  • Passage par des exchanges à KYC faible ou inexistant.

Phase 3

  • Conversion fiat via :
    • plateformes no-KYC,
    • services de garantie,
    • plateformes en langue chinoise.

5) Préférences opérationnelles nord-coréennes

Comparées aux autres cybercriminels, les opérations DPRK montrent :

  • +355 % à +1000 % d’usage de services chinois,
  • +97 % d’utilisation de bridges,
  • +100 % d’activité sur mixers,
  • +356 % d’usage de services spécialisés (ex. Huione).

À l’inverse, les acteurs DPRK :

  • évitent les DEX,
  • évitent le P2P,
  • évitent les protocoles de lending, ce qui suggère une intégration avec des réseaux criminels régionaux structurés, plutôt qu’un usage opportuniste de la DeFi.

6) Cas emblématique : le hack Bybit

  • Février 2025 : attaque unique à 1,5 milliard de dollars.
  • À elle seule, elle représente :
    • l’essentiel des pertes annuelles,
    • l’illustration parfaite de la stratégie DPRK.
  • Après un vol majeur :
    • ralentissement des attaques,
    • focalisation sur le blanchiment.

7) Concentration extrême du risque

  • Les 3 plus gros hacks de 2025 = 69 % des fonds volés.
  • Pour la première fois :
    • le ratio plus gros hack / hack médian atteint 1 000:1.
  • Cette dynamique signifie que :
    • une seule compromission peut fausser toute l’année statistique.

8) Paysage crypto global : contrastes

  • DeFi :
    • pertes en baisse malgré une hausse du TVL → résilience accrue.
  • Portefeuilles personnels :
    • 158 000 incidents,
    • 80 000 victimes uniques,
    • mais valeur totale en baisse : 713 M$ (vs 1,5 Md$ en 2024).

9) Enjeux pour 2026

  • La priorité n’est plus le volume d’attaques, mais la prévention des attaques à impact systémique.
  • Les schémas de blanchiment DPRK sont :
    • cohérents,
    • répétitifs,
    • donc détectables.
  • Toutefois, la patience, la discipline et la sophistication démontrées laissent craindre :
    • un nouveau record en 2026,
    • si une attaque de type Bybit se reproduit.

🧠 À retenir

  • La DPRK est désormais l’acteur central du cybercrime crypto mondial.
  • Sa stratégie repose sur :
    • l’ingénierie sociale longue durée,
    • des attaques rares mais massives,
    • un blanchiment industriel structuré.
  • La capacité de l’industrie crypto à interrompre ces chaînes avant l’exfiltration ou le blanchiment sera déterminante pour l’avenir.

👉 2025 pourrait ne pas être un pic, mais un nouveau plancher.

Type d’article et objectif: Article de presse spécialisé informant sur l’ampleur et l’évolution chiffrée d’un vol de cryptomonnaies attribué à des acteurs nord-coréens.

🔗 Source originale : https://gbhackers.com/crypto-heist/

🖴 Archive : https://web.archive.org/web/20251221181916/https://gbhackers.com/crypto-heist/