L'« année grasse » des hackers nord-coréens : en 2025, les fonds volés atteindront un record historique

2025年 pour les groupes de hackers nord-coréens, sans aucun doute, une année de récolte. Selon le rapport sur les attaques de hackers de 2025 publié par Chainalysis, bien que le nombre d’attaques lancées par les hackers nord-coréens ait considérablement diminué, le montant des fonds volés a atteint un record historique. Ce phénomène apparemment contradictoire reflète la sophistication croissante des méthodes opératoires de ces groupes de cybercriminalité de niveau étatique.

Derrière une année de récolte : moins d’attaques mais plus de fonds volés

L’écosystème crypto en 2025 a été confronté à de sévères défis. Selon les statistiques, plus de 3,4 milliards de dollars ont été dérobés au cours de l’année, dont à lui seul, une attaque majeure contre Bybit en février a causé une perte de 1,5 milliard de dollars.

Les hackers nord-coréens ont particulièrement brillé dans cette « année de prospérité ». En 2025, ils ont dérobé pour une valeur totale de 2,02 milliards de dollars en cryptomonnaies, soit une augmentation de 51 % par rapport à 2024, qui s’élevait à 1,339 milliard de dollars. Mieux encore, cela a marqué la pire année en termes de vol de cryptomonnaies pour la Corée du Nord, avec un total cumulé de 6,75 milliards de dollars.

Ce qui rend les chiffres encore plus alarmants, c’est que les attaques lancées par la Corée du Nord représentaient 76 % de toutes les intrusions, un record historique. Bien que le nombre d’incidents confirmés ait diminué de 74 %, le montant volé a fortement augmenté. Cela indique que les hackers nord-coréens opèrent avec une efficacité accrue — ils réduisent la fréquence de leurs attaques mais concentrent leur puissance sur des cibles plus lucratives.

Un réseau de blanchiment unique : caractéristiques opérationnelles des hackers nord-coréens

Le succès de la « récolte » en 2025 des hackers nord-coréens repose sur leur mode de blanchiment d’argent distinctif et leur réseau d’opérations. Leur activité de blanchiment diffère radicalement de celle d’autres cybercriminels.

Caractéristiques du « partitionnement » des activités de blanchiment

Le blanchiment nord-coréen présente un mode de « partition » évident, avec plus de 60 % des transactions concentrées en dessous de 500 000 dollars. Cela contraste fortement avec la logique d’autres hackers, dont plus de 60 % des fonds transférés sur la blockchain se situent dans la tranche de 1 à 10 millions de dollars, effectués en plusieurs lots.

Préférences marquées pour certains services

Par rapport à d’autres groupes, les hackers nord-coréens montrent des préférences nettes dans leurs opérations de blanchiment :

• Transferts de fonds en chinois et services de garantie (+355 % à plus de 1000 %) : c’est la caractéristique la plus marquante. Ils dépendent fortement des services de garantie en chinois et d’un réseau de blanchiment constitué de nombreux opérateurs avec une conformité réglementaire faible. Cette préférence est nettement plus prononcée que chez d’autres criminels.

• Services de pont inter-chaînes (+97 %) : ils exploitent intensément les ponts inter-chaînes pour transférer des actifs entre différentes blockchains, compliquant ainsi le suivi.

• Services de mixing (+100 %) : ils utilisent davantage de services de mélange pour dissimuler la traçabilité des fonds.

• Services spécialisés (+356 %) : ils recourent stratégiquement à des services comme Huione pour faciliter le blanchiment.

En revanche, ils évitent clairement certains canaux de blanchiment couramment utilisés par d’autres hackers : protocoles de prêt (-80 %), échanges sans KYC (-75 %), plateformes P2P (-64 %), CEX (-25 %) et DEX (-42 %).

Un cycle de transfert de fonds de 45 jours : décryptage d’un processus de blanchiment en plusieurs étapes

L’afflux massif de fonds volés au début de 2025 a fourni aux autorités une précieuse source d’informations. En analysant les activités sur la blockchain, les chercheurs ont découvert que les hackers nord-coréens suivent un parcours de blanchiment structuré et en plusieurs étapes, dont la durée totale est généralement d’environ 45 jours.

Première étape : immédiateté et stratification (jours 0-5)

Dans les premiers jours après l’attaque, une série d’activités anormales ont été observées :

• Le flux de fonds dérobés via les protocoles DeFi a connu une croissance maximale (+370 %), devenant le point d’entrée principal.
• Le volume des transactions de services de mixing a fortement augmenté (+135-150 %), constituant la première couche de dissimulation.
• Cette étape représente une action d’urgence, visant à séparer rapidement les fonds de l’acte initial de vol.

Deuxième étape : intégration préliminaire (jours 6-10)

Après la deuxième semaine, la stratégie de blanchiment commence à se tourner vers des services facilitant l’intégration des fonds dans un écosystème plus large :

• Les échanges avec moins de restrictions KYC (+37 %) et les CEX (+32 %) commencent à recevoir des flux.
• La deuxième couche de services de mixing (+76 %) poursuit le processus à un rythme moins intense.
• Les ponts inter-chaînes (ex. XMRt, +141 %) aident à disperser et dissimuler les mouvements de fonds entre blockchains.
• C’est une période de transition clé, où les fonds commencent à se diriger vers des voies de sortie potentielles.

Troisième étape : intégration à long terme (jours 20-45)

La dernière phase montre une tendance claire vers des services permettant de convertir finalement en monnaie fiduciaire ou autres actifs :

• Les échanges sans KYC (+82 %) et les services de garantie (ex. garantie de pommes de terre, +87 %) voient leur volume augmenter de façon significative.
• Les échanges instantanés (+61 %) et les plateformes en chinois (ex. HuiWang, +45 %) deviennent les points de conversion finaux.
• Les CEX (+50 %) reçoivent également des fonds, indiquant des tentatives de mélange avec des fonds légitimes.
• Les juridictions moins réglementées, comme les réseaux de blanchiment chinois (+33 %) et Grinex (+39 %), complètent ce schéma.

Ce cycle de blanchiment d’environ 45 jours fournit aux forces de l’ordre et aux équipes de conformité des informations cruciales. Ce modèle, maintenu depuis plusieurs années, indique que les hackers nord-coréens font face à des contraintes opérationnelles, probablement liées à leur accès limité aux infrastructures financières et à la nécessité de coordonner avec certains intermédiaires.

La menace croissante pour les utilisateurs individuels

Dans cette année de récolte « prospère », une autre tendance inquiétante est l’augmentation des attaques contre les portefeuilles personnels.

Explosion des vols individuels

En 2025, le nombre d’incidents de vol de portefeuilles personnels a atteint 158 000, soit près de trois fois le record de 54 000 en 2022. Le nombre de victimes est passé de 40 000 en 2022 à au moins 80 000 en 2025. Cette croissance significative est probablement liée à une adoption plus large des cryptomonnaies. Par exemple, sur l’une des blockchains avec le plus grand nombre de portefeuilles actifs, Solana, le nombre de victimes de vols s’élève à environ 26 500.

Montant volé par victime en baisse

Malgré l’augmentation du nombre d’incidents et de victimes, le montant total dérobé par victime en dollars a chuté, passant d’un pic de 1,5 milliard de dollars en 2024 à 713 millions en 2025. Cela indique que les attaquants ciblent un plus grand nombre d’utilisateurs, mais que le montant volé par victime diminue — un changement notable.

Une répartition inégale des risques

Les taux de vol sont les plus élevés pour Ethereum et TRON (mesurés par le taux de criminalité par 10 000 portefeuilles). Bien que Base et Solana comptent un grand nombre d’utilisateurs, leur taux de victimisation est inférieur. Cela montre que le risque pour les portefeuilles individuels dans l’écosystème crypto n’est pas uniformément réparti, et que des facteurs tels que la technologie, la démographie des utilisateurs, les applications populaires et l’infrastructure criminelle jouent un rôle clé dans la vulnérabilité.

La sécurité dans la DeFi : une surprise positive

Malgré la « année de prospérité » des hackers nord-coréens en 2025, des signaux encourageants apparaissent dans l’écosystème crypto — la sécurité dans la DeFi s’améliore.

Augmentation de la TVL en DeFi alors que les pertes dues aux attaques restent stables

Les données montrent trois phases distinctes :

• Première phase (2020-2021) : la TVL en DeFi et les pertes dues aux attaques de hackers croissent simultanément.
• Deuxième phase (2022-2023) : ces deux indicateurs diminuent en parallèle.
• Troisième phase (2024-2025) : la TVL remonte, tandis que les pertes dues aux attaques restent stables.

Cette divergence est particulièrement notable. La TVL en DeFi a fortement rebondi après le creux de 2023, mais les pertes dues aux attaques de hackers n’ont pas augmenté en conséquence. Bien que des milliards de dollars aient été réinvestis dans ces protocoles, les incidents de hacking en DeFi restent à un niveau relativement bas, ce qui constitue un changement significatif.

Deux facteurs expliquent cette différence. D’abord, une amélioration de la sécurité — les protocoles DeFi mettent en œuvre des mesures de sécurité plus efficaces qu’entre 2020 et 2021. Ensuite, un déplacement des cibles — l’augmentation simultanée des vols de portefeuilles individuels et des attaques sur les services centralisés indique que les attaquants changent de focus.

Le succès de la défense du protocole Venus

L’incident du protocole Venus en 2025 illustre parfaitement l’efficacité des mesures de sécurité renforcées.

À l’époque, les hackers ont exploité un client Zoom compromis pour obtenir un accès au système, puis ont incité un utilisateur à leur accorder une autorisation de gestion de compte d’une valeur de 13 millions de dollars. Cela aurait pu avoir des conséquences désastreuses, mais Venus avait déjà activé, un mois auparavant, la plateforme de surveillance de sécurité Hexagate.

Cette plateforme a détecté une activité suspecte 18 heures avant l’attaque, et a immédiatement lancé une alerte dès qu’une transaction malveillante a été détectée. En 20 minutes, Venus a suspendu son protocole, empêchant toute fuite de fonds. La réaction a été rapide et efficace :

• Après 5 heures, une vérification de sécurité a permis une restauration partielle des fonctionnalités.
• Au bout de 7 heures, le portefeuille de l’attaquant a été liquidé de force.
• En 12 heures, tous les fonds volés ont été récupérés et le service a été rétabli.

Il est également remarquable que Venus ait adopté une proposition de gouvernance pour geler 3 millions de dollars d’actifs encore sous contrôle de l’attaquant. Non seulement l’attaquant n’a pas pu réaliser de profit, mais il a aussi subi une perte de fonds.

L’évolution des tactiques des hackers nord-coréens et les menaces futures

Le succès de la « récolte » en 2025 des hackers nord-coréens ne repose pas uniquement sur l’augmentation du montant des fonds volés, mais aussi sur l’évolution constante de leurs méthodes.

De l’infiltration interne à l’ingénierie sociale sophistiquée

Les hackers nord-coréens ont de plus en plus recours à l’infiltration en plaçant des membres du personnel informatique dans les services cryptos pour obtenir des accès privilégiés. Mais récemment, un changement radical s’est produit : des groupes liés à la Corée du Nord ne se contentent plus de postuler à des postes et de s’infiltrer en tant qu’employés. Ils se font désormais passer pour des recruteurs de sociétés Web3 et IA renommées, orchestrant des processus de recrutement fictifs, puis utilisant la « sélection technique » comme prétexte pour obtenir des identifiants de connexion, du code source, voire des accès VPN ou SSO à l’employeur actuel.

Au niveau des cadres supérieurs, des tactiques similaires d’ingénierie sociale prennent la forme de contacts avec de faux investisseurs stratégiques ou acquéreurs. Ils exploitent des réunions de présentation et de faux due diligence pour sonder des informations sensibles ou des infrastructures à haute valeur, une évolution directement bâtie sur les actions de fraude auprès de professionnels IT dans le passé.

Attaques ciblées sur des cibles de grande valeur

De 2022 à 2025, les attaques des hackers nord-coréens se concentrent sur les segments de valeur la plus élevée, plutôt que d’être réparties uniformément. Ce mode de fonctionnement indique que, lorsqu’ils lancent une attaque, ils visent des services majeurs pour maximiser leur impact.

Une stratégie d’ajustement du rythme des attaques

Les trois plus grandes attaques de 2025 ont représenté 69 % de toutes les pertes, et le rapport entre la plus grande attaque et la médiane des incidents a dépassé pour la première fois le seuil de 1000 fois. L’impact de l’incident chez Bybit sur leur mode d’activité annuel montre qu’après une attaque majeure, ils ralentissent leur rythme d’opérations pour se concentrer sur le blanchiment.

Les défis pour 2026

L’année 2025, année de prospérité pour les hackers nord-coréens, révèle la complexité de la sécurité dans l’écosystème crypto actuel. Malgré l’amélioration de la défense dans la DeFi, malgré des cas comme Venus illustrant une réponse sécuritaire efficace, le record historique de fonds volés montre que l’ensemble de l’écosystème reste sous menace.

Pour l’industrie crypto, cette évolution exige de rester vigilant face aux cibles de grande valeur et d’améliorer la détection des modes de blanchiment spécifiques à la Corée du Nord. Leur préférence persistante pour les services de garantie en chinois, les ponts inter-chaînes et certains montants de transfert offre des opportunités pour la détection, en différenciant ces acteurs des autres criminels, et en aidant les enquêteurs à repérer leurs caractéristiques comportementales sur la chaîne.

Alors que la Corée du Nord continue d’utiliser le vol de cryptomonnaies pour financer ses priorités nationales et contourner les sanctions internationales, l’industrie doit comprendre que ses modes opératoires diffèrent radicalement de ceux des cybercriminels classiques. La performance record de 2025 — avec une augmentation massive des fonds volés malgré une réduction de 74 % des attaques connues — montre que l’on ne voit peut-être que la partie émergée de l’iceberg.

Le défi clé pour 2026 sera de détecter et d’empêcher ces opérations avant qu’elles ne se reproduisent à l’échelle de Bybit ou plus. Cela nécessite que l’industrie renforce ses mesures de sécurité tout en surveillant et analysant en continu les modes opératoires uniques des hackers nord-coréens, afin d’alimenter la stratégie de défense future.