Blanchis via des réseaux complexes, les fonds volés par les hackeurs nord-coréens (1,3 milliards de dollars en 2024, déjà 1,5 milliards en 2025) alimentent notamment le programme nucléaire et militaire. Une méthode qui permet à Pyongyang de contourner les sanctions internationales. Attribué au groupe Lazarus, le récent vol de 1,5 milliard de dollars sur la plateforme Bybit – ce montant représente 3 % du PIB annuel du pays – illustre l’ampleur de ces opérations.
A l’origine de la plupart des cyberattaques nord-coréennes, on retrouve le groupe Lazarus. Considéré comme le bras armé cybernétique de Kim Jong-un, son histoire est marquée par des attaques spectaculaires. Egalement connu sous les noms de TraderTraitor, APT38 ou Hidden Cobra, le groupe Lazarus opère depuis au moins 2009 sous l’égide du Bureau général de reconnaissance nord-coréen. Son premier coup d’éclat remonte à 2014 avec le piratage de Sony Pictures Entertainment, en réponse à la sortie du film The Interview qui ridiculisait Kim Jong-un. Les hackers avaient alors dérobé des données sensibles et paralysé les systèmes de l’entreprise, causant des pertes estimées entre 15 et 85 millions de dollars.
Selon un groupe d’experts des Nations unies, la Corée du Nord a dérobé plus de trois milliards de dollars en cryptomonnaies depuis 2017.
En 2016, Lazarus s’en est pris à la Banque centrale du Bangladesh, détournant 81 millions de dollars grâce à une infiltration minutieuse des systèmes. Mais c’est avec l’explosion des cryptomonnaies que le groupe de hackeurs nord-coréen est véritablement passé à l’échelle industrielle. En 2022, le vol de 600 millions de dollars sur Ronin Network (lié au jeu Axie Infinity) avait déjà marqué un tournant, révélant un basculement de Lazarus vers les blockchains et les cryptos.
Ingénierie sociale
Les attaques récentes, comme celle contre l’exchange crypto Bybit (classé sur la liste noire de l’AMF), basé à Dubaï, en février 2025, reposent sur un mélange d’ingénierie sociale et de piratage technique. Dans le cas de Bybit, les hackers ont exploité une vulnérabilité chez Safe, un service de portefeuilles multi signatures très prisé dans le secteur des cryptomonnaies. Les pirates ont compromis l’ordinateur d’un des développeurs de Safe, ce qui leur a donné accès au serveur AWS où était stocké le code de l’application et leur a permis modifier le code source de l’interface utilisateur du portefeuille.
« Lazarus a réussi à pirater les serveurs de Safe, a expliqué le développeur 0xngmi sur X. L’interface de Safe a été hackée, affichant une transaction légitime tout en envoyant en réalité une transaction différente au portefeuille. » Ce modus operandi a permis de détourner 400 000 d’ETH, soit environ 1,5 milliard de dollars. « Tous les jours, il y a des transactions de plusieurs dizaines de milliards de dollars en cryptomonnaie sans aucun souci, a expliqué Julien Prat, directeur de recherche au CNRS, à La Croix. La technologie est extrêmement sûre, l’erreur vient presque toujours des humains. »
Les méthodes d’infiltration de Lazarus incluent également des campagnes de phishing ciblant des employés de plateformes crypto. En décembre 2024, une attaque contre DMM Bitcoin au Japon a ainsi utilisé de faux e-mails de recrutement contenant des logiciels malveillants. « Les pirates se font passer pour des recruteurs et envoient des tests techniques infectés pour prendre le contrôle des systèmes internes », détaille un rapport du FBI.
Mécanismes de blanchiment : une course contre la montre
Dès le vol de Bybit, le groupe Lazarus a initié une stratégie de conversion rapide pour brouiller les pistes. Une partie des ETH volés a été transformée en Bitcoin et autres cryptomonnaies, puis dispersée sur des milliers d’adresses. Selon le FBI, « cette dispersion rend le suivi quasi impossible, préparant le terrain pour un blanchiment en monnaie fiduciaire ». 20 % des fonds volés auraient déjà disparu dans des circuits opaques.
Les analystes de TRM Labs et Elliptic ont observé l’utilisation de transferts entre plusieurs blockchains, via ce qu’on appelle des bridges (ponts, en français) pour fragmenter les transactions et rendre difficile leur traçage. « Le groupe inonde les réseaux de transactions à haute fréquence, submergeant les équipes de conformité », note Nick Carlsen, ancien expert du FBI. Cette tactique, qualifiée de « flood the zone », vise à saturer les capacités d’analyse.
Rôle des courtiers et des mixeurs
Face aux contrôles renforcés des grandes plateformes comme Binance, la Corée du Nord s’appuie sur un réseau de courtiers de gré à gré (OTC) basés en Chine, en Russie et en Malaisie. Ces intermédiaires convertissent les cryptomonnaies volées en cash via des transactions hors marché, échappant aux régulations.
Historiquement, les mixeurs comme Blender.io et Sinbad étaient privilégiés pour anonymiser les flux. Cependant, les sanctions américaines contre ces services (comme celles visant Blender.io en 2024) ont poussé Pyongyang à adopter des méthodes plus directes. En 2023, le régime a même expérimenté le minage de cryptomonnaies via des services de hachage, générant des actifs « propres » à partir de fonds volés. Dans le cas du vol de Bybit, Lazarus aurait utilisé le « mélangeur » Tornado Cash.
Financement de l’arsenal militaire
Selon un rapport de l’ONU, plus de 50 % du programme nucléaire nord-coréen serait financé par des cybervols. Les trois milliards de dollars détournés depuis 2017 dépassent largement les budgets militaires officiels du pays. « Ces fonds permettent à Pyongyang de contourner les sanctions tout en développant des missiles balistiques », alerte Ari Redbord de TRM Labs. La collaboration avec la Russie, illustrée par l’envoi de soldats et de munitions en Ukraine en 2024, serait ainsi partiellement financée par ces revenus crypto. En 2024, des hackers liés à Lazarus ont dérobé 300 millions de dollars à DMM Bitcoin, l’une des principales plateformes d’échanges de cryptomonnaies au Japon. Une somme rapidement injectée dans des achats d’équipements militaires.
Face à cette industrialisation des cyberattaques, les États-Unis, le Japon et la Corée du Sud ont intensifié leur collaboration pour traquer les transactions illicites. En novembre 2024, la police sud-coréenne a ainsi attribué le hack de 342 000 ETH (1,47 milliard de dollars) sur UpBit en 2019 au groupe Lazarus, identifiant des adresses IP nord-coréennes et des motifs de blanchiment similaires. Cependant, l’efficacité des contre-mesures reste limitée. Malgré le gel de 20,5 millions de dollars via Blender.io en 2024, la Corée du Nord continue d’innover
Les vulnérabilités de Lazarus
Malgré leur sophistication, les hackers nord-coréens ne sont pas infaillibles. En février 2025, une erreur technique lors d’une transaction impliquant une cryptomonnaie spécifique — XRP — a entraîné la perte de 121 000 dollars, les fonds étant bloqués sur l’échangeur OKX. Cette négligence rappelle que même les cybercriminels aguerris sont exposés aux risques humains.
La Corée du Nord a transformé le piratage de cryptomonnaies en une stratégie d’État, combinant espionnage, sabotage et financement militaire. Alors que les vols annuels dépassent désormais le milliard de dollars, la communauté internationale peine à endiguer ce fléau. Les récentes évolutions techniques, comme l’automatisation du blanchiment, signalent une course aux armements cybernétiques où chaque avancée des régulateurs suscite une innovation des hackers. Certains experts appellent à une coopération renforcée entre gouvernements et entreprises pour empêcher le régime de Kim Jong-un de continuer à tirer profit de la blockchain pour alimenter ses ambitions militaires.
