Des hackers de Corée du Nord ont volé 1,6 milliard de dollars en cryptomonnaies en 2025.

Les hackers nord-coréens ont intensifié les attaques contre les entreprises de cryptomonnaie en utilisant de fausses offres d'emploi et des logiciels malveillants complexes (ПО) pour accéder aux systèmes cloud. Selon Google Cloud et la société Wiz, en 2025, seulement des groupes liés à la RPDC ont volé des cryptomonnaies pour un montant supérieur à 1,6 milliard de dollars.

Dans le rapport de Google Cloud pour le deuxième semestre 2025, il est indiqué que UNC4899 — un groupe de hackers nord-coréens, qui est activement surveillé — a mené des attaques réussies contre deux entreprises, en se faisant passer pour des employés via les réseaux sociaux.

Des cybercriminels envoyaient à ces travailleurs ce qui prétendait être des « tests » qui étaient en réalité des scripts malveillants. Après leur exécution, les hackers obtenaient un accès à distance aux environnements cloud des entreprises, où ils volaient des informations d'identification et identifiaient les nœuds responsables du traitement des cryptotransactions.

Les deux attaques étaient dirigées contre différentes entreprises et divers services cloud, notamment Google Cloud et AWS, cependant, le résultat était le même : le vol de plusieurs millions de dollars en cryptomonnaie.

Selon Jamie Collier, conseiller principal en renseignement sur les menaces au sein de Google Threat Intelligence Group, les hackers nord-coréens se déguisent souvent en recruteurs, journalistes, professeurs ou experts dans certains domaines :

La société Wiz, qui étudie également les activités d'UNC4899, a indiqué que ce groupe est également connu sous les noms de TraderTraitor, Jade Sleet et Slow Pisces. TraderTraitor est une désignation générale pour une série d'attaques menées par des groupes tels que Lazarus Group, APT38, BlueNoroff et Stardust Chollima.

Selon Wiz, les campagnes TraderTraitor ont commencé en 2020 et ont évolué depuis :

Parmi les plus grandes attaques du groupe figurent le piratage de la bourse japonaise DMM Bitcoin pour 303 millions de dollars et le piratage de la bourse Bybit pour 1,5 milliard de dollars, dont on a pris connaissance en février 2025.

Selon Benjamin Reed, directeur de l'intelligence des menaces chez Wiz :

Selon les dernières estimations, le nombre de hackers liés à TraderTraitor pourrait atteindre des milliers de personnes, travaillant au sein de groupes parallèles ou interconnectés.

Notons que TRM Labs avait précédemment signalé que l'industrie de la cryptographie avait perdu plus de 2,1 milliards de dollars au cours du premier semestre de 2025.

Google a averti que l'activité des hackers nord-coréens ne fait que s'étendre.

Rappelons qu'en avril de cette année, les experts du Google Threat Intelligence Group ont découvert comment fonctionnent les hackers de la RPDC.

Récemment, une Américaine a été condamnée à 8,5 ans de prison pour avoir aidé des hackers nord-coréens à trouver un emploi dans des entreprises américaines.