Les hackers nord-coréens ont volé 2,02 milliards de dollars en 2025, un cycle de blanchiment d'argent de 45 jours révélant leur mode de fonctionnement

2025年, l’industrie de la cryptographie fait face à des menaces sans précédent. Selon le rapport annuel sur les attaques de hackers de la société d’analyse de sécurité blockchain Chainalysis, bien que le nombre d’attaques connues lancées par des groupes de hackers nord-coréens ait diminué de 74 %, la taille des vols a atteint un record historique. Ce mode d’attaque « petit mais précis » cache un cycle opérationnel évident — le processus complet de vol et de blanchiment d’argent dure en moyenne environ 45 jours, ce qui constitue une clé pour démanteler le flux de fonds nord-coréen.

L’industrie de la cryptographie perd 3,4 milliards de dollars en 2025, un record d’ampleur extrême

De janvier à décembre 2025, l’industrie de la cryptographie a subi des pertes par vol de plus de 3,4 milliards de dollars. Parmi celles-ci, un seul incident a eu un impact sans précédent — les trois plus grands événements de hacking ont représenté 69 % de toutes les pertes. Le plus choquant est qu’une attaque contre la plateforme Bybit en février a causé une perte de 1,5 milliard de dollars, représentant la part absolue des fonds volés ce mois-là.

Les sources de ces fonds volés présentent de nouvelles caractéristiques. Bien que le nombre de vols de portefeuilles personnels ait explosé à 158 000 (un sommet depuis 2022), la proportion de vols de portefeuilles personnels dans l’ensemble des pertes a en fait diminué en raison de l’ampleur de l’incident Bybit. Parallèlement, les attaques contre des services centralisés deviennent de plus en plus destructrices — bien que ces intrusions ne soient pas fréquentes, une attaque contre un service centralisé au premier trimestre 2025 a représenté 88 % des pertes trimestrielles totales.

Les données les plus préoccupantes sont que l’écart entre la plus grande attaque de hacking et la médiane de toutes les attaques a dépassé pour la première fois un seuil de 1000 fois. En d’autres termes, la plus grande attaque a volé 1000 fois plus que la moyenne des autres, une disparité extrême dépassant même le ratio observé lors du pic du marché haussier en 2021.

La Corée du Nord représente 76 % des attaques isolées, les attaques connues en baisse mais les vols atteignent de nouveaux sommets

Au cœur de tout cela, le groupe de hackers nord-coréen reste la plus grande menace pour l’industrie de la cryptographie. Ce groupe d’attaques de niveau étatique a volé au moins 2,02 milliards de dollars de cryptomonnaies en 2025, en hausse de 51 % par rapport à 2024 (1,339 milliard de dollars), établissant un record historique. Depuis 2022, le groupe de hackers nord-coréen a accumulé un total de 6,75 milliards de dollars de fonds cryptographiques volés.

Ce qui est déroutant, c’est que ce montant record a été atteint alors que le nombre d’attaques connues a fortement diminué. Les attaques menées par la Corée du Nord représentent 76 % de toutes les intrusions (un record historique), mais la fréquence de ces attaques individuelles a diminué. Cela indique un changement stratégique fondamental — ils privilégient la qualité à la quantité.

Les hackers nord-coréens ont développé des techniques d’infiltration à plusieurs niveaux. Initialement, ils obtenaient un accès privilégié en implantant des employés IT dans les services cryptographiques. Ces dernières années, cette méthode a été remplacée par des attaques de social engineering plus sophistiquées. Ils se font passer pour des recruteurs de sociétés Web3 et IA renommées, en concevant soigneusement de faux processus de recrutement pour tromper les victimes afin d’obtenir leurs identifiants de connexion, codes sources, voire accès VPN ou SSO.

Au niveau des cadres supérieurs, ils utilisent des méthodes plus discrètes — se faisant passer pour des investisseurs stratégiques ou des acquéreurs, en utilisant des présentations d’investissement et de fausses due diligences pour sonder des informations sensibles et des infrastructures de grande valeur. Cette stratégie de ciblage précis explique pourquoi ils réalisent des vols plus importants avec moins d’attaques — leurs cibles sont de grands services et des points clés.

Décryptage du fonctionnement du blanchiment d’argent nord-coréen : stratégie de « division » spéciale et cycle de 45 jours

Contrairement à d’autres cybercriminels, les hackers nord-coréens ont un mode de blanchiment d’argent structuré et unique. Leur activité de blanchiment présente une caractéristique claire de « division » — plus de 60 % des transactions se concentrent en dessous de 500 000 dollars, contrastant avec le mode d’autres hackers qui répartissent 60 % de leurs fonds en plusieurs lots entre 1 million et 10 millions de dollars.

Les hackers nord-coréens montrent également une préférence marquée pour certains services de blanchiment. Ils dépendent fortement des services de transfert de fonds en chinois et des services de garantie (plus de 355 % à 1000 % plus que d’autres hackers), indiquant une connexion étroite avec des réseaux illicites en Asie-Pacifique. Ensuite, ils utilisent massivement des ponts inter-chaînes (plus de 97 %), pour transférer des actifs entre différentes blockchains, augmentant ainsi la difficulté de traçage, et recourent fréquemment à des services de mixing (plus de 100 %) pour dissimuler les flux de fonds. L’utilisation d’outils professionnels comme Huione est également supérieure de 356 %.

Fait notable, ils évitent d’utiliser des protocoles de prêt (moins de 80 % par rapport à d’autres hackers), des échanges sans KYC (moins de 75 %) et des plateformes P2P (moins de 64 %). Ce mode opératoire différent suggère que leur fonctionnement est soumis à des contraintes distinctes — ils doivent coordonner avec certains intermédiaires, avec des canaux relativement fixes.

D’après les données de surveillance de 2022 à 2025, le cycle de transfert de fonds après un vol massif suit une périodicité très structurée, généralement d’environ 45 jours. Ce cycle de blanchiment se divise en trois phases distinctes :

Première phase : stratification d’urgence (jours 0-5) — dans les premiers jours après le vol, on observe une activité transactionnelle anormale. Les protocoles DeFi deviennent la principale destination des fonds volés, avec une augmentation de 370 % du volume de transactions ; les services de mixing voient leur volume augmenter rapidement de 135-150 %. L’objectif de cette phase est de couper rapidement tout lien entre les fonds volés et leur source initiale.

Deuxième phase : fusion initiale (jours 6-10) — après la deuxième semaine, les fonds commencent à transiter vers des services facilitant leur intégration dans l’écosystème. Les échanges centralisés (CEX) et les plateformes avec moins de restrictions KYC reçoivent 37 % et 32 % de plus, respectivement ; la deuxième vague de services de mixing continue d’opérer, et des ponts inter-chaînes comme XMRt aident à disperser les fonds entre plusieurs chaînes (augmentation de 141 %). C’est une étape clé vers la sortie finale.

Troisième phase : fusion longue (jours 20-45) — la dernière étape privilégie les services permettant de convertir en monnaie fiat. Les échanges sans KYC augmentent de 82 %, les services de garantie de 87 %, les échanges instantanés de 61 %, et des plateformes chinoises comme HuiWang de 45 %, devenant les points de sortie finaux. Les plateformes dans des juridictions moins réglementées augmentent de 33 %, complétant ainsi la boucle du réseau de blanchiment.

Ce cycle moyen de 45 jours est une information précieuse pour les forces de l’ordre et les équipes de conformité. Les hackers nord-coréens suivent souvent ce calendrier, ce qui pourrait refléter leurs limitations dans l’accès aux infrastructures financières et leur coordination avec certains intermédiaires. Bien que certains fonds volés entrent en dormance pendant plusieurs mois ou années, ce mode cyclique actif lors du blanchiment offre une fenêtre de temps précieuse pour le suivi.

Portefeuilles personnels vulnérables : 158 000 vols en 2025, un risque écologique derrière

Les vols de portefeuilles personnels ont explosé à 158 000 en 2025, presque triplement par rapport à 2022 (54 000). Le nombre de victimes est passé d’environ 40 000 en 2022 à au moins 80 000 en 2025. Cette vague massive d’attaques ciblant les utilisateurs individuels est étroitement liée à l’adoption généralisée des cryptomonnaies. Par exemple, sur Solana, cette blockchain réputée pour ses portefeuilles personnels actifs, environ 26 500 victimes ont été recensées.

Cependant, il est rassurant de constater qu’en dépit de l’augmentation du nombre d’incidents et de victimes, le montant total volé auprès des victimes personnelles a diminué, passant de 1,5 milliard de dollars en pic en 2024 à 713 millions en 2025. Cela indique que les attaquants « jettent plus large » mais « ciblent des appâts plus petits » — plus d’utilisateurs ciblés, mais chaque victime subit une perte moindre.

La répartition du risque selon les différentes blockchains n’est pas uniforme. En calculant le taux de vol par 100 000 portefeuilles actifs, Ethereum et Tron affichent les taux de vol les plus élevés, en particulier Tron, où malgré une base d’utilisateurs plus petite, le taux de vol est exceptionnellement élevé. En revanche, des blockchains comme Base et Solana, avec une base d’utilisateurs importante, montrent des taux de victimisation plus faibles. Ces différences suggèrent que, au-delà des aspects techniques, les caractéristiques des utilisateurs, l’écosystème d’applications populaires et l’infrastructure criminelle locale jouent tous un rôle dans la vulnérabilité.

Les fonds DeFi reviennent, mais la sécurité s’améliore : tendance inversée en 2025

Les données de sécurité de 2025 dans le domaine DeFi montrent une segmentation remarquable, contrastant avec la tendance historique.

Les quatre dernières années se divisent en trois phases distinctes : la période d’expansion 2020-2021, où la valeur totale verrouillée (TVL) et les pertes dues aux attaques de hackers ont augmenté simultanément ; la période de déclin 2022-2023, où ces deux indicateurs ont diminué ; et enfin, 2024-2025, qui marque une nouvelle phase de divergence — le TVL a rebondi depuis le creux de 2023, mais les pertes dues aux attaques restent faibles.

Selon la logique de Willie Sutton, « il vole des banques parce qu’il y a de l’argent ». Selon cette intuition, la reprise du TVL en DeFi devrait entraîner une augmentation des pertes dues aux attaques. Mais ce qui se passe en 2024-2025 est le contraire — des dizaines de milliards de dollars ont de nouveau afflué vers ces protocoles, tandis que les pertes dues aux attaques restent faibles.

Ce phénomène peut s’expliquer par deux facteurs : d’abord, une amélioration réelle de la sécurité — malgré la croissance du TVL, le taux d’attaques diminue, ce qui indique que les protocoles DeFi mettent en œuvre des mesures de sécurité plus efficaces qu’auparavant ; ensuite, un changement de cible — l’augmentation simultanée des vols de portefeuilles personnels et des attaques contre des services centralisés indique que les cybercriminels déplacent leur attention des protocoles DeFi vers d’autres cibles plus faciles.

Succès de la récupération du protocole Venus : arrêter 13 millions de dollars en 20 minutes

L’incident du protocole Venus en septembre 2025 illustre de manière vivante comment des mécanismes de sécurité améliorés peuvent inverser la tendance. Les attaquants ont obtenu un accès via une intrusion dans le client Zoom, puis ont incité un utilisateur à leur accorder une autorisation de gestion d’un compte valant 13 millions de dollars. Ce qui aurait pu être une catastrophe.

Cependant, Venus avait lancé un mois auparavant la plateforme de surveillance de sécurité Hexagate. Celle-ci a détecté une activité suspecte 18 heures avant l’attaque, et a déclenché une alerte dès que la transaction malveillante a été exécutée. En seulement 20 minutes, Venus a suspendu ses opérations, empêchant toute sortie de fonds.

La réaction a été encore plus rapide par la suite : vérification de sécurité en 5 heures, puis restauration partielle ; liquidation forcée du portefeuille de l’attaquant en 7 heures ; récupération de tous les fonds volés en 12 heures, avec restauration complète du service. Le point crucial : Venus a gelé via un vote de gouvernance 3 millions de dollars d’actifs contrôlés par l’attaquant, empêchant toute profitabilité et lui infligeant une perte.

Ce cas symbolise une évolution concrète des infrastructures de sécurité en DeFi. La surveillance proactive, la capacité de réaction rapide et la gouvernance efficace rendent l’écosystème plus agile et résilient. Bien que les attaques persistent, la capacité à détecter, répondre et même inverser une attaque a fondamentalement changé — passant de « une attaque réussie signifie souvent une perte définitive » à « une attaque peut être arrêtée ou inversée en temps réel ».

Menaces futures et cycles de réponse

Les données de 2025 dessinent un tableau complexe de l’évolution de la menace nord-coréenne dans l’industrie de la cryptographie. La fréquence des attaques de la Corée du Nord diminue, mais leur impact destructeur augmente considérablement, révélant une sophistication accrue et une patience stratégique. L’impact de l’incident Bybit sur le cycle annuel indique qu’en cas de vol majeur, la Corée du Nord réduit son rythme d’action, se concentrant sur un cycle long de blanchiment.

Pour l’industrie de la cryptographie, cette tendance exige de renforcer la vigilance sur les cibles de grande valeur et d’améliorer considérablement la détection des modes de blanchiment spécifiques à la Corée du Nord. Leur préférence pour certains types de services et montants de transfert offre des opportunités pour la détection, permettant de distinguer leurs comportements de ceux d’autres criminels, aidant ainsi les enquêteurs à suivre leurs activités on-chain.

Les records de croissance de la Corée du Nord en 2025 — avec une baisse de 74 % des attaques connues mais un montant volé record — indiquent que ce que l’on voit pourrait n’être que la partie émergée de l’iceberg. Le défi clé en 2026 sera de détecter et d’arrêter à temps ces opérations avant qu’elles ne se reproduisent à l’échelle de Bybit. La compréhension de leur cycle de blanchiment de 45 jours sera une clé pour les autorités et les équipes de sécurité.