Les hackers nord-coréens ont augmenté leurs vols de crypto de 51 % ! La période de blanchiment d'argent est de 45 jours, avec un total de 6,75 milliards de dollars volés.

Nord-coréen hackers ont volé 2,02 milliards de dollars de cryptomonnaies en 2025 (augmentation de 51%), portant le total à 6,75 milliards de dollars. Le nombre d’attaques a diminué de 74% mais leur ampleur a explosé, les CEX représentant près de la moitié des pertes annuelles avec 1,5 milliard de dollars. Ils privilégient les services de blanchiment en chinois (augmentation de 355%), les ponts inter-chaînes et les protocoles de mixage, avec un cycle de blanchiment d’environ 45 jours en trois phases.

Le nombre d’attaques de hackers nord-coréens a diminué de 74%, mais le vol a augmenté de 51%

En 2025, les hackers nord-coréens ont établi un record de vol de cryptomonnaies, dérobant au moins 2,02 milliards de dollars, soit 681 millions de dollars de plus qu’en 2024, une croissance annuelle de 51%. C’est la année la plus grave en termes de vols documentés, avec 76% des fonds volés lors d’attaques menées par la Corée du Nord, un sommet historique. Globalement, le total estimé des cryptomonnaies volées par la Corée du Nord atteint au moins 6,75 milliards de dollars.

Ce qui est encore plus surprenant, c’est que cette perte record résulte d’une réduction significative des attaques connues. Les hackers nord-coréens ont volé plus de cryptomonnaies avec moins d’attaques, le nombre d’attaques ayant diminué d’environ 74%, mais la taille moyenne de chaque attaque ayant explosé. Ce changement reflète l’impact de l’attaque massive contre Bybit en février 2025, qui a causé une perte de 1,5 milliard de dollars, représentant 74% du total annuel volé par la Corée du Nord.

Les trois plus grandes attaques représentent 69% du total des pertes, avec des valeurs extrêmes atteignant 1 000 fois la médiane. En 2025, la somme dérobée lors de la plus grande attaque était 1 000 fois supérieure à celle des vols ordinaires, dépassant même le pic du marché haussier de 2021. Cet écart croissant concentre fortement les pertes, un seul incident ayant un impact exceptionnel sur le total annuel.

Les hackers nord-coréens utilisent de plus en plus l’infiltration d’équipes IT dans les services de cryptomonnaie pour obtenir des accès privilégiés et lancer des attaques majeures. Ces attaques record de 2025 reflètent en partie une dépendance accrue à l’égard des personnels IT dans les plateformes d’échange, les institutions de garde et les entreprises Web3, ce qui accélère l’accès initial et la mobilité latérale, créant ainsi des conditions favorables à de vastes vols.

Cependant, des groupes de hackers liés à la Corée du Nord ont récemment bouleversé ce modèle basé sur le personnel IT. Ils ne se contentent plus de postuler à des postes et de s’infiltrer en tant qu’employés, mais se font de plus en plus passer pour des recruteurs de sociétés Web3 et IA renommées, orchestrant des processus de recrutement fictifs, puis utilisant la « sélection technique » comme prétexte pour obtenir des identifiants, du code source, ainsi que l’accès VPN ou SSO de leurs victimes.

Cycle de blanchiment en 45 jours et préférence pour les services en chinois

L’analyse des activités on-chain liées aux attaques attribuées à la Corée du Nord entre 2022 et 2025 montre que le processus de blanchiment suit un parcours structuré, en plusieurs étapes, d’environ 45 jours. Ce modèle, qui perdure depuis plusieurs années, indique que les hackers nord-coréens rencontrent des contraintes opérationnelles, probablement liées à leur accès limité aux infrastructures financières et à la nécessité de coordonner avec certains intermédiaires.

Cycle de blanchiment en 45 jours pour les hackers nord-coréens

Jour 0-5 (immediate layering) : Augmentation de 370% du volume de protocoles DeFi, hausse de 135-150% des services de mixage, délimitation claire entre activités d’urgence et de vol

Jour 6-10 (intégration préliminaire) : Augmentation de 37% des plateformes sans KYC, 32% pour les CEX, 141% pour les ponts inter-chaînes, flux de capitaux vers des canaux de sortie

Jour 20-45 (intégration longue) : Augmentation de 82% des plateformes sans KYC, 87% pour les services de garantie, 45% pour les plateformes en chinois, finalisation de l’échange fiat

Comparé à d’autres hackers, les hackers nord-coréens montrent une nette préférence pour certains segments de blanchiment. Ils privilégient souvent le transfert de fonds en chinois et les services de garantie (augmentation de 355% à plus de 1000%), ce qui constitue leur caractéristique la plus marquante, dépendant fortement des services de garantie en chinois et d’un réseau de blanchiment composé de nombreux opérateurs peu régulés. L’utilisation des ponts inter-chaînes a augmenté de 97%, témoignant d’une forte dépendance à ces outils pour transférer des actifs entre différentes blockchains, compliquant la traçabilité. L’usage des services de mixage a augmenté de 100%, avec une tendance à recourir davantage à ces services pour dissimuler les flux financiers.

En revanche, les hackers nord-coréens évitent manifestement d’utiliser les protocoles de prêt (−80%), les plateformes sans KYC (−75%, étonnamment inférieures à d’autres groupes), les plateformes P2P (−64%) et les DEX (−42%). Ces tendances indiquent que leur mode opératoire est influencé par des contraintes et des objectifs différents de ceux des cybercriminels non étatiques. Ils exploitent massivement des services de blanchiment en chinois et des traders OTC, ce qui montre une relation étroite avec des acteurs illicites en Asie-Pacifique.

Ce cycle de blanchiment d’environ 45 jours fournit une information clé pour les forces de l’ordre et les équipes de conformité. Comprendre ce cadre temporel et ces phases peut aider les exchanges et les sociétés de sécurité à mettre en œuvre des mesures de gel et de récupération avant que les fonds ne soient complètement blanchis.