Source : Elliptic (20 février 2026). Le billet fait le point douze mois après l’exploit de Bybit, attribué au DPRK et confirmé par le FBI, et décrit l’évolution des vols et du blanchiment crypto associés à la Corée du Nord.

Elliptic rappelle que l’attaque contre Bybit (21 février 2025) a abouti au vol d’environ 1,46 Md$ en cryptoactifs – le plus grand vol confirmé à ce jour – et que la majorité des fonds a depuis été blanchie, notamment via des adresses de remboursement, la création de tokens sans valeur et une diversification inédite entre mixers, avec un recours important à des services OTC chinois suspectés (plus de 1 Md$ déjà blanchi à mi‑2025).

L’entreprise affirme que cet exploit a marqué un point d’inflexion plutôt qu’un aboutissement : en 2025, le DPRK aurait dérobé un record de 2 Md$, portant le total connu à plus de 6 Md$, fonds supposés contribuer au financement des programmes d’armes nucléaires et de missiles. Le rythme reste élevé en 2026, avec en janvier un nombre d’exploits doublé par rapport à janvier 2025.

Un fil conducteur se dégage : l’ingénierie sociale demeure le vecteur principal. Les opérateurs nord-coréens peaufinent des personas, communications et prétextes – probablement avec l’aide de l’IA – et pourraient évoluer, selon l’enquête d’Elliptic sur Tenexium, d’une stratégie d’infiltration de projets à la création de leurs propres projets frauduleux.

Deux campagnes phares sont décrites :

  • DangerousPassword 🎭: contact via comptes sociaux compromis, proposition d’appel vidéo (Zoom/Microsoft Teams) avec faux problème audio; la « correction » consiste à installer via ligne de commande un « SDK » qui est en réalité un malware recherchant clés privées, seed phrases et mots de passe (y compris des accès à des comptes sociaux) pour propager la compromission.
  • Contagious Interview 🧑‍💻: fausses opportunités d’emploi menant à un test technique; téléchargement d’un dépôt de code hébergé sur une plateforme réputée mais piégé; à l’exécution, installation d’un malware visant clés privées, seed phrases et mots de passe. Les victimes peuvent être connectées à l’infrastructure de leur employeur, exposant l’organisation entière.

TTPs observés:

  • Ingénierie sociale via réseaux sociaux et visioconférence (Zoom/Teams) avec faux incident technique.
  • Installation par ligne de commande d’un outil présenté comme un SDK, livrant un malware d’exfiltration (clés privées, seed phrases, mots de passe, comptes sociaux).
  • Fausses offres d’emploi et tests techniques impliquant des dépôts de code malveillants sur des plateformes légitimes.
  • Blanchiment des fonds via adresses de remboursement, tokens sans valeur, mixers multiples et OTC suspectés en Chine.

Il s’agit d’une analyse de menace visant à documenter l’ampleur, les méthodes et l’évolution des opérations de vol et de blanchiment crypto attribuées au DPRK, un an après l’exploit de Bybit.

🧠 TTPs et IOCs détectés

TTP

Ingénierie sociale via réseaux sociaux et visioconférence avec faux incident technique; Installation par ligne de commande d’un outil présenté comme un SDK, livrant un malware d’exfiltration (clés privées, seed phrases, mots de passe, comptes sociaux); Fausses offres d’emploi et tests techniques impliquant des dépôts de code malveillants sur des plateformes légitimes; Blanchiment des fonds via adresses de remboursement, tokens sans valeur, mixers multiples et OTC suspectés en Chine.

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://www.elliptic.co/blog/bybit-exploit-12-months-on-the-dprk-threat-continues