Arnaque mondiale au recrutement : les USA traquent de faux développeurs Nord-Coréens

Le stratagème est déjà bien rodé, et les autorités américaines passent à l’action.

Le Département de la Justice américain (DOJ) a annoncé procéder, ce 5 juin, à une confiscation civile visant plus de 7,7 millions de dollars en cryptomonnaies. Selon les enquêteurs fédéraux, ces fonds auraient été savamment blanchis au profit d’entités nord-coréennes placées sous sanctions internationales, dont la Banque de Commerce Extérieur et le ministère de la Défense nationale.
La source de cet argent ? Des milliers de Nord-Coréens qui parviennent à décrocher des emplois dans des entreprises américaines, y compris des géants du Fortune 500 et des sociétés de cybersécurité, tout en étant physiquement basés à Pyongyang, en Russie, en Chine ou aux Émirats arabes unis.

Des “travailleurs fantômes” nord-coréens infiltrent la tech mondiale

Pour passer les entretiens et les vérifications d’identité, tous les stratagèmes sont exploités : faux papiers, identités volées ou créées de toutes pièces, connexions via VPN et parfois même complicité de citoyens américains pour faire transiter les équipements ou les salaires.

Les candidats Nord-Coréens cherchent à être embauchés notamment dans les secteurs du développement logiciel, de la blockchain et de la finance décentralisée (DeFi), sans que celles-ci ne se doutent de la supercherie. Les salaires, souvent versés en stablecoins comme USDC ou USDT, sont ensuite transférés via des réseaux de blanchiment complexes, passant par des portefeuilles auto-hébergés, des exchanges centralisés, des swaps inter-blockchains et même l’achat de NFT, afin de masquer l’origine des fonds.

Une fois le blanchiment accompli, l’argent numérique atterrit dans les coffres virtuels d’organisations sanctionnées par les États-Unis, alimentant potentiellement les programmes d’armement du régime de Kim Jong-un.

D’après le FBI, deux figures centrales orchestrent la redistribution de ces fonds illicites.

Le premier: Sim Hyon Sop, représentant de la Banque de Commerce Extérieur nord-coréenne, opère principalement depuis Dubaï. Il a reçu, sur ses portefeuilles, plus de 24 millions de dollars en cryptomonnaies entre 2021 et 2023, la majorité provenant de comptes liés à Kim Sang Man, le deuxième protagoniste cité dans l’enquête.

Ce dernier, basé à Vladivostok en Russie, dirige la société Chinyong, une entreprise IT subordonnée au ministère nord-coréen de la Défense. Tous deux ont déjà été sanctionnés par le Trésor américain pour leur rôle clé dans le blanchiment et la redistribution de ces revenus, qui transitent par des comptes ouverts sous de fausses identités russes ou malaisiennes, et sont ensuite reversés au régime nord-coréen.

Un phénomène surveillé de près

Longtemps perçue comme une menace américaine, cette tactique s’étend désormais à l’Europe. Selon le dernier rapport APT d’ESET, que Numerama a pu consulter, les groupes nord-coréens ont significativement élargi leur spectre d’attaque ces derniers mois, multipliant les campagnes d’ingénierie sociale, de phishing et d’infiltration dans le secteur technologique, notamment auprès d’entreprises européennes du secteur blockchain, de la finance et de la défense.

Google Threat Intelligence Group confirme que des “IT warriors” nord-coréens opèrent désormais sous de multiples identités en Europe, décrochant des contrats au Royaume-Uni, en Allemagne, en France et auprès de gouvernements ou d’industries dites sensibles.

Les autorités américaines, quant à elle, rappellent que cette saisie s’inscrit dans une stratégie plus large : perturber les flux financiers alimentant les programmes d’armement nord-coréens et protéger l’intégrité de l’écosystème crypto international.

Selon TRM Labs, la Corée du Nord aurait volé environ 5 milliards de dollars en cryptomonnaies sur les huit dernières années, via des piratages massifs et, de plus en plus, via l’infiltration de travailleurs IT sous fausse identité.

---