Les pertes en cryptomonnaies liées à la Corée du Nord augmentent de 51 % en 2025, selon un rapport

Les hackers affiliés à l’État nord-coréen ont intensifié leur empreinte dans l’écosystème crypto en 2025, causant des pertes dépassant 2 milliards de dollars et enregistrant une hausse de 51 % d’une année sur l’autre, selon le rapport de CrowdStrike sur le paysage des menaces dans les services financiers 2026. Les résultats positionnent les acteurs liés à la RPDC comme la plus grande menace en termes de valeur des actifs volés, soulignant un déplacement vers des cibles de grande valeur et une sécurité opérationnelle de plus en plus sophistiquée.

Selon le rapport, le réseau de menaces de la RPDC a mené moins de campagnes qu’auparavant, mais a obtenu des retours nettement plus élevés en se concentrant sur des cibles de grande valeur et en renforçant la chaîne du vol à la liquidation. On pense que les fonds volés sont blanchis pour financer les programmes militaires du régime, un schéma que CrowdStrike note comme un objectif persistant de ces acteurs. L’accent mis par le groupe sur des opérations centralisées à fort impact contraste avec une répartition plus large d’incidents de moindre valeur observés dans les années précédentes.

Principaux enseignements

Les acteurs affiliés à l’État nord-coréen ont causé plus de 2 milliards de dollars de pertes en crypto en 2025, en hausse de 51 % par rapport à l’année précédente, selon le rapport de CrowdStrike 2026.

La RPDC reste le groupe de menace le plus important en valeur de dollars volés, reflétant un pivot stratégique vers des cibles de grande valeur et une monétisation efficace.

Les projets Web3 et les échanges de cryptomonnaies étaient des cibles privilégiées en raison d’une liquidité plus facile et d’une plus grande anonymat lors de la liquidation, selon les conclusions du paysage des menaces.

Les fonds volés sont probablement blanchis pour financer des programmes militaires, avec moins de campagnes mais des retours nettement plus élevés, signalant un changement dans l’économie des attaques.

Les efforts d’infiltration et d’ingénierie sociale s’étendent au-delà du cyberespace, avec des points de contact hors ligne et des intermédiaires tiers jouant un rôle dans des opérations plus sophistiquées.

Pertes croissantes et stratégie à haute valeur

L’évaluation de CrowdStrike met en évidence un paradoxe : même si le nombre de campagnes a diminué, l’impact financier a explosé parce que le groupe privilégie des cibles plus grandes et plus lucratives. La société note que les actifs volés sont en grande partie dirigés vers des canaux maximisant l’anonymat et la liquidité, permettant une conversion plus rapide en fonds utilisables tout en évitant les contrôles financiers traditionnels. La récurrence de tels schémas suggère un changement délibéré pour maximiser la valeur par opération plutôt que le volume brut d’incidents.

« Les produits dérivés volés sont presque certainement blanchis pour financer les programmes militaires du régime. Par rapport à 2024, les adversaires liés à la RPDC ont mené moins de campagnes mais ont obtenu des retours nettement plus élevés en privilégiant des cibles de grande valeur. »

Ces conclusions interviennent alors que le paysage des menaces montre une maturation des opérations liées à la RPDC, avec des enquêteurs évoquant une boîte à outils en expansion qui combine intrusion traditionnelle, ingénierie sociale et compromissions de type chaîne d’approvisionnement. Le rapport souligne également que la volonté du groupe d’exploiter les faiblesses des entreprises crypto — allant des équipes de projet aux échanges — illustre une stratégie de ciblage large visant à maximiser à la fois l’accès et la monétisation.

Pourquoi Web3 et les échanges restent des points focaux

La discussion sécuritaire de mercredi autour des acteurs de la RPDC se concentre sur l’économie du vol de crypto. Le rapport note que les portefeuilles de grande valeur et les échanges centralisés offrent une liquidité plus profonde et des voies de sortie plus rapides, ce qui réduit le temps pendant lequel les fonds sont exposés aux risques de traçage et de saisie. En ce sens, l’attractivité des projets Web3 et des plateformes crypto ne se limite pas au vol mais concerne la capacité à convertir des actifs volés en monnaie utilisable avec moins de friction que les rails financiers traditionnels.

Au-delà des vols directs, l’écosystème plus large doit surveiller l’évolution des stratégies d’ingénierie sociale conçues pour exploiter la confiance autour des protocoles en développement et des processus de gouvernance. À mesure que le modèle de menace devient plus sophistiqué, l’importance de pratiques de sécurité robustes — telles que la gestion rigoureuse des risques fournisseurs, la revue de code et l’authentification résistante au phishing — devient cruciale pour les constructeurs et opérateurs du secteur crypto.

Infiltration, en ligne et hors ligne : incidents notables

En avril, la Fondation Ethereum, qui supervise le développement d’Ethereum, a publiquement signalé l’ampleur de l’implication de la RPDC dans les intrusions Web3, identifiant une cohorte importante d’opérateurs soutenus par la RPDC infiltrant divers projets crypto. L’implication suggère que le groupe maintient un accès persistant et multi-facettes aux écosystèmes cibles, combinant intrusions à distance et réseautage sur le terrain pour étendre son influence.

Un épisode largement cité concerne Drift Protocol, une plateforme d’échange décentralisée, où des attaquants auraient infiltré et compromis les environnements de développement après avoir noué des relations avec l’équipe du projet. L’équipe de Drift Protocol a rapporté que les attaquants ont été introduits dans le projet lors d’une conférence majeure de l’industrie crypto et ont cultivé une relation de travail sur six mois. Pendant cette période, un malware a été déployé contre des machines de développeurs, contribuant à environ 280 millions de dollars de pertes. La direction de Drift a souligné que les personnes présentes en personne n’étaient pas des nationals nord-coréens, mais a noté que les acteurs de la RPDC comptent souvent sur des intermédiaires tiers pour faciliter les contacts en face à face.

Le récit plus large autour de la reconnaissance hors ligne et du recrutement en personne est renforcé par d’autres observations industrielles, notamment des rapports sur des travailleurs informatiques nord-coréens engagés avec des entreprises technologiques et utilisant des canaux d’emploi légitimes pour faciliter des activités illicites. Des chercheurs comme ZachXBT ont mis en lumière des cas où des travailleurs liés à la RPDC ont gagné des sommes mensuelles substantielles dans des schémas connexes, soulignant la nature transversale de la menace à la fois en ligne et hors ligne.

Pour les investisseurs, les constructeurs et les opérateurs, ces incidents signalent une course à l’armement continue entre les acteurs de la menace et les équipes de sécurité protégeant les plateformes crypto. L’épisode Drift, en particulier, montre comment des points d’appui peuvent être implantés via des canaux de développement de confiance, transformant les chaînes d’approvisionnement logicielles en vecteurs de pertes importantes. La mise en garde plus large est claire : même des interactions communautaires apparemment fiables et des engagements avec des tiers peuvent devenir des surfaces de risque si la diligence raisonnable et l’hygiène de sécurité ne sont pas rigoureusement maintenues.

Ce qui attend le marché et la stratégie de défense

Alors que le paysage des menaces se cristallise autour des opérations soutenues par la RPDC, les acteurs du marché doivent s’attendre à une poursuite de l’accent sur le vol de grande valeur et les techniques de monétisation sophistiquées. Les régulateurs, les sociétés de sécurité et les équipes de plateforme vont probablement renforcer les contrôles de gouvernance, la sécurité de la chaîne d’approvisionnement et la surveillance accrue des flux en chaîne liés aux portefeuilles et entités connues de la RPDC. La convergence des intrusions cybernétiques, de l’ingénierie sociale et des stratégies de vol à haut rendement indique un risque persistant et dynamique qui mettra à l’épreuve la résilience des infrastructures crypto et des programmes de conformité.

À l’avenir, les observateurs surveilleront de plus en plus les divulgations plus détaillées des sociétés de renseignement sur les opérations des acteurs de la RPDC, y compris toute nouvelle contre-mesure qui pourrait perturber les canaux les plus lucratifs. La reconnaissance de la Fondation Ethereum des centaines d’opérateurs liés à la RPDC et les réflexions post-incident de Drift Protocol pourraient annoncer une poussée plus large vers la transparence et la défense proactive dans tout l’écosystème. Pour les lecteurs, la question clé reste de savoir à quelle vitesse l’industrie pourra transformer ces insights en améliorations concrètes de la sécurité, réduisant à la fois la fréquence et l’impact des futures brèches.

Au fil de l’année, la communauté crypto devra surveiller à la fois les réponses de gouvernance et les protections techniques. Les investisseurs et les utilisateurs doivent rester vigilants quant aux audits de sécurité des projets, aux protections par calcul multipartite et à la planification de réponses aux incidents — autant d’éléments où le coût de l’inaction peut se mesurer en millions de dollars ainsi qu’en dommages réputationnels potentiellement durables.

Cet article a été initialement publié sous le titre « Les pertes crypto liées à la RPDC augmentent de 51 % en 2025 », dans Crypto Breaking News — votre source fiable pour l’actualité crypto, l’actualité Bitcoin et les mises à jour blockchain.