Des développeurs nord-coréens infiltrent des entreprises sous de fausses identités pour financer le régime de Pyongyang et mener des opérations de cyberespionnage.
1,5 milliard de dollars. C’est le montant dérobé par des cybercriminels nord-coréens à la plateforme crypto Bybit, selon le FBI. Ce chiffre vertigineux illustre l’ampleur de l’économie souterraine numérique organisée par la République populaire démocratique de Corée (RPDC).
Depuis plusieurs années, Pyongyang combine des opérations de cyberespionnage à grande échelle avec une stratégie plus insidieuse : infiltrer les entreprises occidentales via des travailleurs IT sous de fausses identités. Ces développeurs, formés dans un circuit éducatif rigoureusement contrôlé, sont ensuite envoyés à l’étranger (Laos, Chine, Russie) pour réaliser des missions en télétravail.
Leur objectif ? Générer un revenu régulier pour le régime. Un salarié IT peut empocher 5 000 dollars par mois, dont seuls 200 lui restent. Le reste est directement transféré au gouvernement nord-coréen.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Des visages masqués derrière des CVs trompeurs
Les identités sont souvent créées de toutes pièces : faux CVs, photos de profil modifiées par IA, présences simulées sur les plateformes de freelancing. Les exemples de « Naoki Murano » et « Jenson Collins » révélés par DTEX, une société spécialisée en renseignement sur les menaces internes et les comportements à risque en entreprise, illustrent bien la stratégie. Basés au Laos, puis déplacés en Russie, ces deux faux profils auraient participé à des projets blockchain au profit du régime.
DTEX publie aujourd’hui plus de 1 000 adresses email liées à ces activités. L’analyse montre une réutilisation régulière des identités, certaines ayant opéré sur plusieurs missions simultanées, d’autres n’ayant jamais laissé de traces vérifiables en ligne.
Les travailleurs nord-coréens multiplient les candidatures à un rythme effréné. Ce volume génère des erreurs : CVs accessibles publiquement, commentaires mal effacés dans du code, entretiens vidéo avec des incohérences, ou encore utilisation de logiciels de déformation faciale en temps réel.
Une surveillance omniprésente
Derrière le luxe apparent des photos dévoilées par les chercheurs, la réalité est bien plus austère. Dans certains cas, les travailleurs sont regroupés dans des pièces exiguës, sous surveillance constante du MSS (Ministry of State Security). Leur activité informatique est contrôlée : chaque mot-clé tapé peut déclencher des alertes.
L’image d’un développeur posant devant une horloge et des militaires en arrière-plan résume bien le climat : surveillance, loyauté forcée, et contrôle absolu. Ces opérateurs du cyberespace ne sont pas libres, mais contraints de remplir des objectifs financiers au profit d’un régime opaque.
Un cybercrime étatisé et méthodique
La spécificité de la stratégie nord-coréenne est qu’elle repose moins sur une logique militaire que sur une logique mafieuse, selon Michael Barnhart, de DTEX. Tout est interconnecté : les hackers, les développeurs, les faux freelances, les sociétés écran. Les structures impliquées incluent le le 227 Research Center, qui dépend du Bureau général de reconnaissance (RGB) et joue un rôle clé dans les opérations de renseignement et les activités cybernétiques offensives, le Ministère de la défense nord-coréen, responsable du pilotage stratégique de certaines équipes d’IT workers, ou encore le Munitions Industry Department, qui supervise les projets visant à financer et développer les capacités militaires, notamment les programmes d’armement.
Les autorités américaines ont commencé à réagir. En 2023, plusieurs sociétés écrans et individus ont été sanctionnés pour avoir facilité l’emploi d’IT workers nord-coréens. Mais le modèle d’opération de Pyongyang se réinvente sans cesse, brouillant les pistes et contournant les mesures.
Pour les entreprises, la menace est réelle et difficile à anticiper. Une vigilance accrue sur les recrutements, une vérification poussée des identités et une sensibilisation des équipes RH et techniques sont essentielles. Car sous les apparences d’un développeur freelance inoffensif peut se cacher un rouage stratégique du cybercrime d’État nord-coréen.
Pour en savoir plus
Les travailleurs informatiques nord-coréens sont exposés à grande échelle
Les jeunes développeurs s’éclatent. Ils débouchent des bouteilles de mousseux, dégustent des steaks, jouent au football ensemble et se prélassent dans une luxueuse piscine privée. Toutes ces activités sont immortalisées par des photos…
(Re)découvrez également:
Des agents IT nord-coréens infiltrent des géants du Fortune 500
Des informaticiens nord-coréens opèrent clandestinement dans des entreprises majeures. Une menace discrète mais réelle au cœur du Fortune 500.
Les espions nord-coréens menacent maintenant les entreprises européennes
Après les Etats-Unis, des travailleurs informatiques nord-coréens infiltrent maintenant des entreprises européennes.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
