Des hackers nord-coréens utilisent l’IA pour tromper les RH ! Un faux ingénieur infiltre et vole 2,8 milliards – toute l’opération révélée

Les chercheurs en sécurité de BCA LTD, NorthScan et ANY.RUN ont déployé un honeypot afin d’attirer le groupe Lazarus, la division Chollima, et ont filmé en continu, via un ordinateur portable de développeur factice, l’intégralité du mode opératoire des hackers nord-coréens. La vidéo montre des agents nord-coréens utilisant des outils d’IA pour générer des réponses parfaites aux entretiens, dissimuler leur localisation et configurer un code PIN fixe sur Google Remote Desktop afin d’assurer un contrôle à long terme, tout en se concentrant sur la construction d’une image d’employé modèle plutôt que sur l’attaque immédiate.

2,8 milliards de dollars de cybercriminalité : pilier économique de la Corée du Nord

Cet incident n’est qu’une partie d’un écosystème industriel plus vaste, qui a fait de la fraude à l’emploi l’une des principales sources de revenus d’un régime sanctionné. Un récent groupe de surveillance multilatéral estime que des organisations liées à Pyongyang ont volé environ 2,83 milliards de dollars d’actifs numériques entre 2024 et septembre 2025. Ce chiffre représenterait près d’un tiers des revenus en devises étrangères du pays, signe que le cyber-vol est désormais une stratégie économique souveraine.

2,83 milliards de dollars, c’est l’équivalent du PIB annuel de nombreux petits pays. Ces fonds servent à soutenir le programme nucléaire et balistique de la Corée du Nord, faisant de la lutte contre les hackers nord-coréens non seulement un enjeu de cybersécurité mais une question de sécurité internationale. Le département du Trésor américain, le FBI et de nombreuses agences internationales font du suivi et de la neutralisation de la cybercriminalité nord-coréenne une priorité absolue.

Depuis que les sanctions internationales ont coupé les voies commerciales traditionnelles de la Corée du Nord, la cybercriminalité est devenue l’un des moyens les plus importants d’acquérir des devises étrangères. Contrairement au trafic d’armes ou de drogues, le cybercrime a un coût bas, présente moins de risques, et rapporte énormément. Une équipe de hackers nord-coréens bien formés n’a besoin que d’un ordinateur et d’un accès Internet pour voler des millions de dollars de n’importe où dans le monde.

Cette industrialisation étatique montre que la Corée du Nord considère la cybercriminalité comme une ressource stratégique. Lazarus Group et la division Chollima ne sont pas des amateurs mais des unités régulières, formées par l’État, payées par le gouvernement et dotées d’objectifs clairs. Leurs opérations sont soigneusement planifiées, avec une répartition professionnelle des tâches : sélection des cibles, usurpation d’identité, techniques d’intrusion, et blanchiment des fonds.

Quatre grandes caractéristiques de l’industrialisation de la cybercriminalité nord-coréenne

Système de formation étatique : sélection de talents hackers dès le collège, formation technique et linguistique spécialisée

Déploiement mondial dispersé : hackers répartis en Chine, Asie du Sud-Est, Russie, pour réduire les risques de traçage

Organisation du travail : infiltration, attaque, blanchiment de fonds confiés à des équipes distinctes pour plus d’efficacité

Gestion par objectifs : chaque équipe a des cibles annuelles précises, récompenses à la clé pour la réussite des missions

En février 2025, une grande plateforme CEX a été attaquée, prouvant l’efficacité de cette méthode d’attaque basée sur le facteur humain. Dans ce cas, les hackers nord-coréens du groupe TraderTraitor ont exploité des identifiants internes volés pour déguiser des transferts externes en mouvements internes, prenant in fine le contrôle d’un smart contract de cold wallet. La CEX a perdu plus de 1,4 milliard de dollars, l’un des plus gros vols uniques de l’histoire de la crypto.

Armes IA : la transformation mortelle de la productivité en capacité offensive

(Source : BCA LTD)

L’utilisation d’outils d’IA destinés à la productivité à des fins offensives par les hackers nord-coréens est l’élément le plus inquiétant révélé par cette opération de honeypot. Ils exploitent des logiciels d’automatisation de recherche d’emploi légitimes, tels que Simplify Copilot et AiApply, pour générer massivement des réponses parfaites aux entretiens et remplir des formulaires de candidature. Initialement conçus pour améliorer l’efficacité des candidats, ces outils deviennent des armes permettant aux agents nord-coréens de contourner les filtres RH.

Simplify Copilot génère automatiquement des lettres de motivation et CV personnalisés selon l’offre d’emploi, tandis qu’AiApply simule des réponses humaines à des questions techniques d’entretien. Les hackers nord-coréens allient ces outils à des identités volées d’ingénieurs américains réels, produisant des candidatures presque infaillibles. Les RH voient des CV parfaits, des candidats à l’entretien fluides et des antécédents crédibles, sans raison de soupçonner une fraude.

Cette utilisation d’outils occidentaux de productivité met en lumière une évolution inquiétante : des acteurs étatiques détournent l’IA, prévue pour simplifier le recrutement, afin de le déjouer. Cela illustre la double facette de l’IA : les mêmes outils peuvent accroître la productivité ou devenir des armes. Les entreprises adoptant des outils de recrutement IA doivent intégrer le risque d’usages malveillants.

L’enquête montre que les hackers nord-coréens routent leur trafic pour masquer leur localisation et utilisent des services web pour gérer les codes de double authentification liés aux identités volées. Cette stack technique prouve leur compréhension avancée des mesures de sécurité occidentales : contournement de la géolocalisation, gestion 2FA via navigateur, antécédents crédibles grâce aux identités volées, le tout formant une couverture parfaite.

L’objectif n’est pas la destruction immédiate, mais le contrôle à long terme. Les opérateurs configurent Google Remote Desktop via PowerShell avec un code PIN fixe, garantissant qu’ils gardent la main sur la machine même si les droits sont révoqués. Ce mécanisme de backdoor révèle la patience et la planification à long terme des hackers nord-coréens, prêts à investir des mois pour bâtir la confiance avant de s’emparer des systèmes clés.

Honeypot : révélation de la chaîne d’attaque complète et des stratégies de défense

(Source : NorthScan)

Les chercheurs en sécurité ont piégé des agents nord-coréens sur un « laptop développeur » piégé et filmé leurs actions en direct. Les équipes de BCA LTD, NorthScan et de la plateforme d’analyse de malwares ANY.RUN ont ainsi capturé en temps réel l’évolution de la cybercriminalité étatique. Ce honeypot offre une perspective inédite sur la chaîne d’attaque complète des hackers nord-coréens.

L’opération a débuté lorsque les chercheurs ont créé un profil de développeur puis accepté une invitation d’entretien d’un recruteur sous le pseudonyme « Aaron ». Ce dernier n’a pas déployé de malware classique, mais a proposé un poste remote typique du secteur Web3. Lorsque les chercheurs ont octroyé l’accès à l’ordinateur, les agents nord-coréens n’ont pas exploité de faille logicielle, préférant se concentrer sur la construction d’une image d’employé modèle.

Cette vidéo donne un aperçu inédit du mode opératoire des unités nord-coréennes, notamment la fameuse division Chollima, qui contournent les firewalls traditionnels en se faisant directement embaucher par les départements RH des pays cibles. La division Chollima est l’unité d’élite cyber de la Corée du Nord, nommée d’après le cheval mythique Chollima, symbole de rapidité et d’efficacité, spécialisée dans l’infiltration des institutions financières et entreprises crypto.

Essentiellement, leur objectif initial n’est pas de pirater un wallet, mais de s’intégrer comme employés de confiance pour accéder aux dépôts internes et dashboards cloud. Ils exécutent des diagnostics matériels, réalisent des tâches de développement classiques, participent aux réunions d’équipe, et se comportent en employés remote exemplaires. Cette patience et capacité d’infiltration rendent la menace quasi indétectable aux premiers stades.

Les six étapes de la chaîne d’attaque complète des hackers nord-coréens

Préparation de l’identité : vol ou achat de documents d’ingénieurs américains réels et de comptes LinkedIn

Candidature assistée par IA : usage de Simplify Copilot et AiApply pour des réponses et dossiers parfaits

Réussite à l’entretien : démonstration de compétences techniques et anglais courant

Construction de la confiance : implication professionnelle, livraison des tâches confiées

Implantation d’une backdoor : installation de Google Remote Desktop ou autre mécanisme de persistance

Attente stratégique : patience jusqu’à obtention des droits systèmes ou accès aux wallets

Du KYC au KYE : mutation fondamentale de la défense d’entreprise

L’essor de l’ingénierie sociale pose une crise de responsabilité majeure à l’industrie des actifs numériques. Plus tôt cette année, des sociétés de sécurité comme Huntress et Silent Push ont documenté des réseaux de sociétés-écrans, dont BlockNovas et SoftGlide, dotées d’enregistrements légaux américains et de profils LinkedIn crédibles. Déguisées en cabinets d’évaluation technique, elles ont incité des développeurs à installer des scripts malveillants.

Pour les responsables conformité et RSSI, le défi a changé de nature. Les protocoles traditionnels « Know Your Customer » (KYC) visent les clients ; le workflow Lazarus impose désormais un strict « Know Your Employee » (KYE). Ce changement de paradigme force les entreprises à repenser tout le processus de recrutement et de gestion des effectifs.

Le ministère de la Justice a commencé à cibler ces fraudes IT, saisissant 7,74 millions de dollars liés à ces opérations, mais la détection reste très en retard. Ce montant n’est qu’une goutte d’eau face aux 2,83 milliards de dollars volés, signe de l’efficacité limitée des actions répressives. Le réseau de hackers nord-coréens, dispersé dans de nombreux pays, tire parti de l’anonymat et de la nature transfrontalière des cryptomonnaies, compliquant traque et poursuites.

Comme l’a démontré l’opération de fishing de BCA LTD, la seule solution pourrait être de passer d’une défense passive à la tromperie active, en créant des environnements contrôlés qui forcent les attaquants à exposer leurs techniques avant de prendre le contrôle des fonds. Cette stratégie proactive marque un tournant majeur : de la construction de murs à la pose de pièges.

Les cinq mesures-clés du processus KYE pour les entreprises crypto

Entretiens vidéo multiples : exigence d’activation de la caméra, observation des micro-expressions et de l’environnement

Vérification technique en temps réel : tests de programmation live, non simple évaluation de portfolio

Enquête approfondie : prise de contact avec anciens employeurs, vérification des diplômes, analyse de l’historique des réseaux sociaux

Attribution progressive des droits : accès restreint aux systèmes sensibles pour les nouveaux employés, élévation graduelle

Surveillance des comportements anormaux : détection d’outils de dissimulation de localisation, horaires de travail atypiques, installations suspectes

Le succès du honeypot montre que face à une menace cyber étatique, la défense passive seule ne suffit plus. Les entreprises doivent passer à l’offensive, déployer des systèmes leurres pour attirer et identifier les menaces potentielles. Quand les hackers nord-coréens croient avoir réussi à s’infiltrer, ils exposent en réalité leurs outils, techniques et procédures (TTPs), fournissant ainsi de précieuses informations à la communauté sécurité.

D’un point de vue macro, cet événement met en avant les nouveaux défis de sécurité à l’ère du travail à distance. Quand les membres d’une équipe sont disséminés dans le monde et ne se rencontrent jamais, la vérification de l’authenticité de chacun devient cruciale. L’industrie crypto, avec ses actifs de grande valeur et sa culture du remote, est une cible prioritaire pour les hackers nord-coréens. Les entreprises doivent renforcer la vérification et la surveillance des employés tout en préservant la flexibilité du travail à distance.