D'après le détective en ligne ZachXBT, des spécialistes informatiques nord-coréens se font passer pour des développeurs ordinaires et travaillent sur des projets de cryptomonnaie afin de les pirater ultérieurement.
1/ Une source anonyme a récemment partagé des données exfiltrées d'un serveur de paiement interne nord-coréen contenant 390 comptes, des journaux de chat et des transactions en cryptomonnaie.
J'ai passé de longues heures à examiner tout cela, rien de tout cela n'avait été divulgué publiquement auparavant.
Cela a révélé un système sophistiqué… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) 8 avril 2026
Une source anonyme a fourni à l'expert des données provenant du serveur de paiement interne de la RPDC. La fuite comprenait 390 comptes, des correspondances et des transactions en cryptomonnaie.
« J’ai passé des heures à étudier ces données. Elles n’ont jamais été publiées. Le système s’est avéré complexe : fausses identités, documents falsifiés et conversions de cryptomonnaies en monnaie fiduciaire d’environ un million de dollars par mois », a écrit l’expert.
Fonctionnement du dispositif
Un informaticien nord-coréen surnommé Jerry a été victime d'un piratage informatique. Les données volées comprenaient des journaux de conversation IPMsg, de faux profils d'informateurs et l'historique de navigation.
L'analyse a révélé que sur luckyguys[.]site, une plateforme de paiement interne dotée d'une interface similaire à Discord, les fraudeurs signalaient aux modérateurs les paiements reçus. Le mot de passe par défaut, « 123456 », était resté inchangé pour dix utilisateurs.
Dans leurs comptes, ZachXBT a trouvé des rôles, des noms coréens, des villes et des noms de code de groupe qui reflétaient les activités de développeurs originaires de la RPDC.
3/ Le mot de passe standard du site était 123456, et il est resté inchangé pour dix utilisateurs.
La liste des utilisateurs comprenait des rôles, des noms coréens, des villes et des noms de code de groupe, ce qui correspond aux opérations effectuées par des informaticiens nord-coréens.
Les trois entreprises qui ont émergé sont actuellement sous sanctions de l'OFAC : Sobaeksu,… pic.twitter.com/rKYS0TR9BL
— ZachXBT (@zachxbt) 8 avril 2026
Trois entreprises mentionnées dans le rapport — Sobaeksu, Saenal et Songkwang — sont soumises à des sanctions de l'OFAC .
Immédiatement après la publication de l'enquête, le site luckyguys[.] a cessé de s'ouvrir.
Mise à jour : Le site de paiement interne de la RPDC a depuis été désactivé suite à ma publication.
Cependant, toutes les données ont été archivées au préalable. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) 9 avril 2026
Détails de la transaction
De décembre 2025 à avril 2026, un utilisateur de WebMsg nommé Rascal a échangé des messages avec PC-1234 concernant des transferts d'argent et la création de fausses identités. Toutes les transactions ont été effectuées via le compte administrateur du serveur PC-1234, qui a servi à les authentifier.
4/ Voici l'un des utilisateurs de WebMsg « Rascal » et ses messages privés de PC-1234 avec des détails sur les transferts de paiement et l'utilisation d'identités frauduleuses de décembre 2025 à avril 2026.
Tous les paiements sont traités et confirmés via le compte d'administrateur du serveur : PC-1234.
Adresses à Hon… pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) 8 avril 2026
Des factures et des biens ont été réglés via des adresses à Hong Kong (dont l'authenticité est en cours de vérification). Depuis fin novembre 2025, plus de 3,5 millions de dollars ont été versés sur ces comptes.
Le système de transfert était le même : les utilisateurs envoyaient soit des cryptomonnaies depuis une plateforme d’échange ou un service, soit les convertissaient en monnaie fiduciaire via des comptes bancaires chinois en utilisant des plateformes comme Payoneer.
Structure et tentatives de piratage
Sur la base des données collectées, ZachXBT a reconstitué la structure organisationnelle complète du réseau, y compris une ventilation des paiements par utilisateur et par groupe pour la période allant de décembre 2025 à février 2026.
L'analyse des transactions internes a révélé des liens sur la blockchain avec plusieurs groupes connus de travailleurs nord-coréens du secteur informatique. En décembre 2025, Tether a bloqué l'un de ces portefeuilles sur le réseau TRON.
Sur l'appareil piraté de Jerry, ils ont trouvé des traces d'utilisation d'un VPN et de nombreux faux CV.
Dans une conversation Slack, une utilisatrice nommée Nami a partagé un article concernant un employé victime de deepfake, un informaticien nord-coréen. Un collègue a demandé s'il s'agissait de la personne en question, et un autre a fait remarquer qu'ils n'étaient pas autorisés à partager de liens externes.
8/ L'appareil compromis de Jerry montre l'utilisation du VPN Astrill et de diverses fausses identités postulant à des emplois.
Des échanges internes sur Slack ont révélé que « Nami » avait partagé un article de blog concernant un faux profil de demandeur d'emploi : un informaticien nord-coréen. Un deuxième utilisateur a demandé s'il s'agissait d'elle, tandis qu'un troisième a fait remarquer qu'elle n'y était pas autorisée… pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) 8 avril 2026
Jerry a discuté activement avec un autre informaticien nord-coréen de la possibilité de détourner des fonds du projet Arcano (un jeu sur GalaChain) via un proxy nigérian. On ignore si l'attaque a réussi.
Niveau de formation et de menace
De novembre 2025 à février 2026, l'administrateur a envoyé au groupe 43 modules de formation Hex-Rays/IDA Pro. La formation portait sur le désassemblage , la décompilation , le débogage local et à distance, ainsi que sur d'autres aspects de la cybersécurité.
ZachXBT a fait remarquer que ce groupe de professionnels de l'informatique de la RPDC est moins sophistiqué que AppleJeus et TraderTraitor, qui opèrent plus efficacement et constituent une menace majeure pour le secteur.
Il avait précédemment estimé les revenus des développeurs nord-coréens à plusieurs millions de dollars par mois, et les dernières données ont confirmé ces calculs.
« Mon opinion, qui risque d'être impopulaire : les pirates informatiques ne s'attaquent pas aux groupes nord-coréens de bas niveau sans raison. Le risque est faible, la concurrence quasi inexistante et les cibles peuvent en valoir la peine », a souligné l'expert en sécurité informatique.
Comment reconnaître un pirate informatique nord-coréen
Auparavant, une vidéo d'une interview était devenue virale sur le réseau social X, dans laquelle un spécialiste informatique de la RPDC était invité à insulter le dirigeant du pays, Kim Jong-un.
Voici une vidéo montrant un informaticien nord-coréen stoppé net dans son élan lorsqu'on lui demande d'insulter Kim Jong Un.
Ça ne marchera pas éternellement, mais pour l'instant, c'est un filtre vraiment efficace. Je n'ai encore jamais rencontré quelqu'un qui puisse l'affirmer. https://t.co/8FFVPxNm8X pic.twitter.com/KXI5efMo5L
– tanuki42 (@tanuki42_) 6 avril 2026
Le candidat n'a pas accédé à cette demande ; immédiatement après, l'image s'est figée. Cela pourrait s'expliquer par le fait que critiquer le dirigeant nord-coréen est passible de sanctions.
Le développeur s'est fait passer pour un Japonais du nom de Taro Aikuchi. Le lendemain de la publication de la vidéo, il a supprimé son CV de LinkedIn et de son site web personnel, et a changé son pseudonyme sur Telegram.
Pour rappel, en avril, Taylor Monahan, chercheur en sécurité chez MetaMask, a déclaré que des spécialistes informatiques nord-coréens s'étaient installés dans les protocoles DeFi depuis au moins sept ans.
Parmi les projets auxquels des personnes originaires de la RPDC ont participé, elle a notamment cité SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki et bien d'autres.