## Les hackers nord-coréens accèdent aux données et mettent à jour les records : le vol de cryptomonnaies en 2025 à un niveau historique

L’industrie des cryptomonnaies a continué de faire face en 2025 à la menace d’attaques cybernétiques par la Corée du Nord. Selon une enquête d’une société d’analyse de chaînes, les hackers nord-coréens ont adopté cette année une tactique consistant à infliger des coups plus importants avec moins d’attaques, enregistrant ainsi la plus grande perte de l’histoire. Ce changement suggère que les attaquants ciblent de manière plus précise les failles de sécurité et que leurs méthodes d’intrusion deviennent plus sophistiquées.

### Montant record de vols : du qualitatif au quantitatif

De janvier à début décembre 2025, le montant total volé dans l’écosystème cryptographique a dépassé 3,4 milliards de dollars, principalement par des groupes de hackers liés à la Corée du Nord. Les actifs cryptographiques volés cette année ont atteint au moins 2,02 milliards de dollars, soit une augmentation de 51 % par rapport à 2024.

Il est remarquable de noter que, malgré une baisse du nombre d’attaques, le montant total volé a considérablement augmenté. Cela indique que la tactique des hackers nord-coréens a changé. Auparavant, ils tentaient de multiples intrusions de petite envergure, mais ils se concentrent désormais sur des cibles de grande valeur avec des attaques plus ciblées. En conséquence, le total des vols par la Corée du Nord a atteint 6,75 milliards de dollars, un record dans l’histoire de la cryptomonnaie.

Les trois plus grands incidents de 2025 représentent à eux seuls 69 % du total. La différence entre le plus grand incident unique et la perte moyenne lors d’un hacking a été amplifiée à un niveau sans précédent, atteignant un écart de 1000 fois. Cela dépasse même l’ampleur de la période de pic du marché haussier de 2021.

### Évolution des méthodes d’attaque : infiltration du personnel IT à la fraude auprès de la direction

Les méthodes d’attaque des hackers nord-coréens ne se limitent plus à une simple infiltration interne, mais ont évolué vers des techniques de social engineering plus avancées.

Traditionnellement, ils s’infiltraient dans les entreprises en se faisant passer pour des membres du personnel informatique, obtenant ainsi des accès privilégiés. Cependant, des activités récentes ont révélé que cette tactique a été fondamentalement modifiée. Le groupe actuel se fait passer pour des recruteurs de grandes entreprises Web3 ou d’IA, en créant de faux processus de recrutement. Lorsqu’une victime passe un « entretien technique », le hacker demande des identifiants de connexion, le code source, un accès VPN ou une authentification Single Sign-On (SSO). Une fois ces informations confidentielles en main, ils peuvent pénétrer tout le système.

Une tendance encore plus dangereuse concerne les attaques de social engineering ciblant la direction. En se faisant passer pour des investisseurs stratégiques ou des représentants d’entreprises acquéreuses, ils tentent d’obtenir des informations sur le système ou des détails sur des infrastructures critiques lors de réunions sous prétexte de due diligence.

Cette évolution des modes d’attaque indique que le groupe nord-coréen n’est pas un simple groupe criminel, mais une organisation soutenue par l’État, ciblant stratégiquement des entreprises clés.

### Modèle de blanchiment d’argent unique : le secret du cycle de 45 jours

Les hackers nord-coréens montrent un modèle totalement différent dans le traitement des fonds volés. En analysant leurs activités, il apparaît que le processus, depuis le vol jusqu’à la conversion finale en monnaie légale, suit un cycle cohérent d’environ 45 jours.

**Phase initiale (0-5 jours après le vol)**

Immédiatement après l’attaque, en période de chaos, les fonds volés voient une augmentation de 370 % des flux vers les protocoles DeFi. Parallèlement, l’utilisation de services de mixing augmente de 135 à 150 %, formant une « première couche » rendant la traçabilité des fonds difficile. La priorité à cette étape est de dissimuler rapidement toute trace du vol.

**Phase intermédiaire (6-10 jours)**

Lorsque les fonds sont dispersés dans tout l’écosystème, ils commencent à entrer dans des plateformes de trading sans vérification d’identité ou dans des exchanges centralisés (CEX). L’utilisation de ces services augmente de 37 à 32 %. L’utilisation de ponts cross-chain pour transférer des fonds entre différentes blockchains devient également plus active, compliquant davantage la traçabilité.

**Phase finale (20-45 jours)**

À cette étape, les fonds entrent dans des services de transfert en chinois, des plateformes de collatéralisation ou des réseaux de blanchiment en chinois. C’est ici que l’on pense que la conversion finale en monnaie légale a lieu.

Les méthodes préférées du groupe nord-coréen incluent notamment l’utilisation de services de transfert de fonds en chinois et d’institutions de collatéralisation (avec une augmentation de 355 à plus de 1000 %). Cela suggère une forte connexion avec le réseau financier underground en Asie de l’Est. En revanche, l’utilisation de protocoles de prêt DeFi ou de plateformes P2P est nettement inférieure à celle d’autres groupes de hackers.

La cohérence de ce modèle indique que la Corée du Nord adopte une approche hautement organisée pour le blanchiment d’argent, dépendant de certains intermédiaires ou zones géographiques peu réglementées.

### Explosion des victimes en portefeuille personnel : avertissement aux utilisateurs de cryptomonnaies

Au niveau individuel, le vol de cryptomonnaies a connu une croissance sans précédent en 2025. Le nombre de cas de vol a atteint 158 000, soit près de 3 fois plus qu’en 2022 avec 54 000 cas. Le nombre de victimes a doublé, passant d’environ 40 000 à au moins 80 000.

Cette augmentation coïncide avec l’expansion de l’adoption des cryptomonnaies, reflétant que de plus en plus d’utilisateurs ordinaires détiennent des actifs cryptographiques. Sur la blockchain Solana, on recense environ 26 500 victimes, ce qui en fait une plateforme particulièrement touchée.

Fait intéressant, bien que le nombre de cas augmente, le montant moyen par incident diminue. En 2024, le total des pertes s’élevait à 1,5 milliard de dollars, contre 713 millions en 2025. Cela signifie que, si les attaquants ciblent un plus grand nombre d’utilisateurs, la perte moyenne par victime diminue.

Une analyse par réseau montre que le risque de vol est le plus élevé sur Ethereum et TRON, avec un taux de criminalité par 100 000 portefeuilles particulièrement élevé. En revanche, Base et Solana, malgré leur grande base d’utilisateurs, présentent un taux de victimes relativement faible. Cela suggère que plusieurs facteurs, tels que l’environnement applicatif, les caractéristiques des utilisateurs ou l’existence d’infrastructures criminelles, influencent le risque de vol.

### Espoir dans le domaine DeFi : l’impact des investissements en sécurité

Entre 2024 et 2025, la tendance dans le secteur DeFi a brisé les idées reçues. Malgré une forte reprise de la valeur verrouillée (TVL) après un creux historique, les pertes dues aux hacks restent à un niveau stable et faible.

Historiquement, plus la taille des actifs à risque augmentait, plus les pertes lors de hacks augmentaient aussi. Cette tendance était visible en 2020-2021, puis lors de la période de déclin 2022-2023. Cependant, la reprise de 2024-2025 a montré que cette relation ne tient plus.

Ce changement indique que les efforts de sécurisation des protocoles DeFi portent leurs fruits. Le renforcement des systèmes de surveillance, l’introduction de détections en temps réel et la mise en place de mécanismes de réponse rapide ont contribué à réduire la fréquence des attaques.

**Étude de cas : la défense réussie du protocole Venus**

L’incident du protocole Venus en septembre 2025 a démontré l’efficacité des améliorations en matière de sécurité. Les attaquants ont compromis un client Zoom pour accéder au système et ont tenté d’obtenir l’autorisation de délégation de 13 millions de dollars.

Mais Venus avait déjà déployé un système de surveillance de sécurité un mois avant l’incident. Ce système a détecté une anomalie 18 heures avant l’attaque et a déclenché une alerte lors de transactions malveillantes. Cela a permis de :

- **En moins de 20 minutes** : arrêter d’urgence le protocole et empêcher la fuite de fonds
- **En moins de 5 heures** : vérifier la sécurité et restaurer partiellement les fonctionnalités
- **En moins de 7 heures** : forcer la liquidation des positions de l’attaquant
- **En moins de 12 heures** : récupérer tous les fonds volés et restaurer le service

De plus, il a été possible de geler les 3 millions de dollars encore détenus par l’attaquant via la gouvernance. Résultat : l’attaquant n’a pas pu profiter de son attaque et a perdu ses fonds.

Ce cas illustre que la sécurité en DeFi ne se limite pas à la technique, mais inclut une approche intégrée de surveillance, de réponse et de gouvernance.

### Perspectives futures des menaces d’accès aux données et mesures à prendre

Les données de 2025 révèlent que la menace nord-coréenne a évolué qualitativement. Si le nombre d’attaques a diminué, leur puissance a augmenté, et leurs méthodes sont devenues plus patientes et plus sophistiquées. Après un incident majeur en février, on observe une tendance où, après de grands vols, ils ralentissent temporairement leur rythme pour se concentrer sur le blanchiment d’argent.

Le secteur des cryptomonnaies doit faire face à de nombreux défis : renforcer la vigilance sur les cibles de grande valeur, mieux connaître les techniques de blanchiment propres à la Corée du Nord, et reconnaître le modèle particulier du cycle de 45 jours. Ces caractéristiques permettent de différencier ces groupes d’autres criminels et d’améliorer la détection et la réponse.

Pour la Corée du Nord, qui continue de voler pour contourner les sanctions internationales, ces activités ne représentent qu’une partie de leur arsenal. La plus grande difficulté à partir de 2026 sera de pouvoir anticiper et répondre aux prochaines attaques majeures avant qu’elles ne se produisent.