• CoinDesk a identifié plus d'une douzaine de sociétés de cryptographie qui ont embauché sans le savoir des travailleurs informatiques de la République populaire démocratique de Corée (RPDC), y compris des projets de blockchain bien établis tels qu'Injective, ZeroLend, Fantom, Sushi, Yearn Finance et Cosmos Hub.

  • Les travailleurs ont utilisé de fausses pièces d’identité, ont passé avec succès les entretiens, ont passé les vérifications de références et ont présenté de véritables antécédents professionnels.

  • L’embauche de travailleurs nord-coréens est contraire à la loi aux États-Unis et dans d’autres pays qui sanctionnent la Corée du Nord. Cela présente également un risque pour la sécurité : CoinDesk a rencontré de nombreux exemples d’entreprises embauchant des informaticiens nord-coréens et se faisant ensuite pirater.

  • « Tout le monde a du mal à filtrer ces personnes », a déclaré Zaki Manian, un éminent développeur de blockchain qui dit avoir embauché par inadvertance deux informaticiens de la RPDC pour aider à développer la blockchain Cosmos Hub en 2021.

La société de cryptographie Truflation en était encore à ses débuts en 2023 lorsque son fondateur Stefan Rust a embauché sans le savoir son premier employé nord-coréen.

« Nous étions toujours à la recherche de bons développeurs », explique Rust depuis son domicile en Suisse. « Soudain, un développeur est arrivé. »

« Ryuhei » a envoyé son CV sur Telegram et a affirmé qu'il était basé au Japon. Peu après son embauche, d'étranges incohérences ont commencé à faire surface.

À un moment donné, « je parlais au gars et il m'a dit qu'il était dans un tremblement de terre », se souvient Rust. Sauf qu'il n'y a pas eu de tremblement de terre récemment au Japon. Puis l'employé a commencé à manquer des appels et lorsqu'il s'est présenté, « ce n'était pas lui », a déclaré Rust. « C'était quelqu'un d'autre. » Qui que ce soit, il avait perdu l'accent japonais.

Rust apprendra bientôt que « Ryuhei » et quatre autres employés – plus d’un tiers de son équipe – sont nord-coréens. Sans le savoir, Rust est devenu la proie d’un plan coordonné par la Corée du Nord pour assurer des emplois à l’étranger à ses employés et en faire revenir les bénéfices à Pyongyang.

Les autorités américaines ont récemment intensifié leurs avertissements selon lesquels des travailleurs informatiques nord-coréens infiltrent des entreprises technologiques, notamment des employeurs du secteur des crypto-monnaies, et utilisent les bénéfices pour financer le programme d'armement nucléaire de l'État paria. Selon un rapport des Nations unies de 2024, ces travailleurs informatiques rapportent jusqu'à 600 millions de dollars par an au régime de Kim Jon Un.

L’embauche et le paiement des travailleurs – même par inadvertance – constituent une violation des sanctions de l’ONU et sont illégaux aux États-Unis et dans de nombreux autres pays. Cela présente également un grave risque pour la sécurité, car les pirates informatiques nord-coréens sont connus pour cibler des entreprises par l’intermédiaire de travailleurs clandestins.

Une enquête de CoinDesk révèle désormais à quel point les candidats nord-coréens ont ciblé de manière agressive et fréquente les entreprises de crypto-monnaie en particulier, en parvenant à passer avec succès les entretiens, en passant les vérifications de références et même en présentant des historiques impressionnants de contributions au code sur le référentiel de logiciels open source GitHub.

CoinDesk s'est entretenu avec plus d'une douzaine d'entreprises de crypto-monnaie qui ont déclaré avoir embauché par inadvertance des travailleurs informatiques de la République populaire démocratique de Corée (RPDC), comme le pays est officiellement appelé.

Ces entretiens avec des fondateurs, des chercheurs en blockchain et des experts du secteur révèlent que les informaticiens nord-coréens sont bien plus présents dans l’industrie de la cryptographie qu’on ne le pensait auparavant. Pratiquement tous les responsables du recrutement contactés par CoinDesk pour cet article ont reconnu avoir interviewé des développeurs nord-coréens suspects, les avoir embauchés sans le savoir ou connaître quelqu’un qui l’avait fait.

« Le pourcentage de vos CV entrants, ou de personnes demandant un emploi ou souhaitant contribuer – tout ce genre de choses – qui viennent probablement de Corée du Nord est supérieur à 50 % dans l’ensemble du secteur de la cryptographie », a déclaré Zaki Manian, un éminent développeur de blockchain qui dit avoir embauché par inadvertance deux informaticiens de la RPDC pour aider à développer la blockchain Cosmos Hub en 2021. « Tout le monde a du mal à filtrer ces personnes. »

Parmi les employeurs nord-coréens mal intentionnés identifiés par CoinDesk figurent plusieurs projets blockchain bien établis, tels que Cosmos Hub, Injective, ZeroLend, Fantom, Sushi et Yearn Finance. « Tout cela s’est passé en coulisses », a déclaré Manian.

Cette enquête marque la première fois que l’une de ces entreprises reconnaît publiquement avoir embauché par inadvertance des travailleurs informatiques de la RPDC.

Dans de nombreux cas, les travailleurs nord-coréens effectuaient leur travail comme des employés ordinaires ; les employeurs recevaient donc en quelque sorte ce pour quoi ils étaient payés. Mais CoinDesk a trouvé des preuves montrant que les travailleurs transféraient ensuite leur salaire vers des adresses blockchain liées au gouvernement nord-coréen.

L'enquête de CoinDesk a également révélé plusieurs cas où des projets de cryptographie qui employaient des informaticiens de la RPDC ont ensuite été victimes de piratages. Dans certains de ces cas, CoinDesk a pu relier directement les vols à des informaticiens présumés de la RPDC faisant partie de la masse salariale d'une entreprise. Tel a été le cas de Sushi, un important protocole financier décentralisé qui a perdu 3 millions de dollars lors d'un incident de piratage en 2021.

Le Bureau de contrôle des avoirs étrangers (OFAC) du département du Trésor américain et le ministère de la Justice ont commencé à rendre publiques les tentatives nord-coréennes d'infiltrer l'industrie américaine de la cryptographie en 2022. CoinDesk a découvert des preuves que les travailleurs informatiques de la RPDC ont commencé à travailler dans des sociétés de cryptographie sous de fausses identités bien avant cette date, au moins dès 2018.

« Je pense que beaucoup de gens ont l’impression erronée qu’il s’agit d’un phénomène nouveau qui s’est produit soudainement », a déclaré Manian. « Il existe des comptes GitHub et d’autres choses avec ces personnes qui remontent à 2016, 2017, 2018. » (GitHub, propriété de Microsoft, est la plateforme en ligne que de nombreuses sociétés de logiciels utilisent pour héberger du code et permettre aux développeurs de collaborer.)

CoinDesk a lié les employés informatiques de la RPDC à des entreprises en utilisant diverses méthodes, notamment des enregistrements de paiement blockchain, des contributions de code GitHub public, des e-mails de responsables du gouvernement américain et des entretiens directs avec des entreprises ciblées. L'un des plus grands réseaux de paiement nord-coréens examinés par CoinDesk a été découvert par ZachXBT, un enquêteur blockchain qui a publié une liste de développeurs présumés de la RPDC en août.

Auparavant, les employeurs gardaient le silence par crainte d’une publicité indésirable ou de répercussions juridiques. Aujourd’hui, confrontés à de nombreux relevés de paiements et à d’autres preuves découvertes par CoinDesk, nombre d’entre eux ont décidé de se manifester et de partager leur histoire pour la première fois, révélant le succès et l’ampleur écrasants des efforts de la Corée du Nord pour pénétrer l’industrie des crypto-monnaies.

Faux documents

Après avoir embauché Ryuhei, l'employé apparemment japonais, Truflation, la société de développement de Rust, a reçu un flot de nouvelles candidatures. En quelques mois seulement, Rust a embauché sans le savoir quatre autres développeurs nord-coréens qui disaient être basés à Montréal, Vancouver, Houston et Singapour.

Le secteur des cryptomonnaies est particulièrement propice aux sabotages de la part des informaticiens nord-coréens. La main-d’œuvre est particulièrement internationale et les entreprises de cryptomonnaies ont tendance à être plus à l’aise que d’autres à embaucher des développeurs entièrement à distance, voire anonymes.

CoinDesk a examiné les candidatures à des emplois en RPDC que les entreprises de cryptographie ont reçues de diverses sources, notamment des plateformes de messagerie comme Telegram et Discord, des sites d'emploi spécifiques à la cryptographie comme Crypto Jobs List et des sites de recrutement comme Indeed.

« Ils ont le plus de chance d’être embauchés dans ces équipes vraiment fraîches et nouvelles qui sont prêtes à embaucher via Discord », a déclaré Taylor Monahan, chef de produit chez MetaMask, une application de portefeuille cryptographique qui publie fréquemment des recherches sur la sécurité liées à l’activité cryptographique nord-coréenne. « Ils n’ont pas de processus en place pour embaucher des personnes dont les antécédents ont été vérifiés. Ils sont souvent prêts à payer en cryptomonnaies. »

Rust a déclaré qu'il avait lui-même effectué ses propres vérifications des antécédents de tous les nouveaux employés de Truflation. « Ils nous ont envoyé leurs passeports et leurs cartes d'identité, nous ont donné des dépôts GitHub, ont passé un test, et puis, en gros, nous les avons embauchés. »

Pour l’œil non averti, la plupart des documents falsifiés semblent impossibles à distinguer des passeports et des visas authentiques, même si les experts ont déclaré à CoinDesk qu’ils auraient probablement été détectés par des services professionnels de vérification des antécédents.

Bien que les startups soient moins susceptibles de faire appel à des vérificateurs d'antécédents professionnels, « nous voyons également des travailleurs informatiques nord-coréens dans de plus grandes entreprises, soit en tant que véritables employés, soit au moins en tant que sous-traitants », a déclaré Monahan.

Se cacher à la vue de tous

Dans de nombreux cas, CoinDesk a découvert des travailleurs informatiques de la RPDC dans des entreprises utilisant des données blockchain accessibles au public.

En 2021, Manian, le développeur de blockchain, avait besoin d'aide dans son entreprise, Iqlusion. Il a recherché des codeurs indépendants qui pourraient l'aider dans un projet de mise à niveau de la célèbre blockchain Cosmos Hub. Il a trouvé deux recrues ; elles ont fait preuve de compétence.

Manian n’a jamais rencontré en personne les freelances « Jun Kai » et « Sarawut Sanit ». Ils avaient déjà travaillé ensemble sur un projet de logiciel open source financé par THORChain, un réseau blockchain étroitement lié, et ils ont dit à Manian qu’ils étaient basés à Singapour.

« Je leur ai parlé presque tous les jours pendant un an », a déclaré Manian. « Ils ont fait le travail. Et j'en ai été, franchement, assez satisfait. »

Deux ans après que les freelances eurent terminé leur travail, Manian a reçu un e-mail d'un agent du FBI enquêtant sur des transferts de jetons qui semblaient provenir d'Iqlusion et qui étaient en route vers des adresses de portefeuilles cryptographiques nord-coréens suspectes. Les transferts en question se sont avérés être des paiements d'Iqlusion à Kai et Sanit.

Le FBI n'a jamais confirmé à Manian que les développeurs qu'il avait engagés étaient des agents de la RPDC, mais l'examen par CoinDesk des adresses blockchain de Kai et Sanit a montré qu'en 2021 et 2022, ils ont canalisé leurs gains vers deux personnes figurant sur la liste des sanctions de l'OFAC : Kim Sang Man et Sim Hyon Sop.

Selon l'OFAC, Sim est un représentant de Kwangson Banking Corp, une banque nord-coréenne qui blanchit les fonds des travailleurs informatiques pour aider à « financer les programmes d'armes de destruction massive et de missiles balistiques de la RPDC ». Sarawut semble avoir canalisé tous ses revenus vers Sim et d'autres portefeuilles blockchain liés à Sim.

Kai, quant à lui, a versé près de 8 millions de dollars directement à Kim. Selon un avis de l'OFAC de 2023, Kim est un représentant de la Chinyong Information Technology Cooperation Company, gérée par la RPDC, qui, « par l'intermédiaire des sociétés sous son contrôle et de leurs représentants, emploie des délégations de travailleurs informatiques de la RPDC qui opèrent en Russie et au Laos ».

Le salaire d'Iqlusion à Kai représentait moins de 50 000 $ sur les près de 8 millions de dollars qu'il a envoyés à Kim, et une partie des fonds restants provenait d'autres sociétés de cryptographie.

Par exemple, CoinDesk a découvert des paiements de la Fondation Fantom, qui développe la blockchain Fantom largement utilisée, à « Jun Kai » et à un autre développeur lié à la RPDC.

« Fantom a identifié deux membres du personnel externe impliqués dans la Corée du Nord en 2021 », a déclaré un porte-parole de la Fondation Fantom à CoinDesk. « Cependant, les développeurs en question ont travaillé sur un projet externe qui n'a jamais été terminé et n'a jamais été déployé. »

Selon la Fondation Fantom, « les deux individus en question ont été licenciés, n'ont jamais contribué à aucun code malveillant ni n'ont jamais eu accès à la base de code de Fantom, et aucun utilisateur de Fantom n'a été affecté. » L'un des employés de la RPDC a tenté d'attaquer les serveurs de Fantom mais a échoué car il ne disposait pas des accès requis, selon le porte-parole.

Selon la base de données OpenSanctions, les adresses blockchain liées à la RPDC de Kim n'ont été publiées par aucun gouvernement avant mai 2023, soit plus de deux ans après qu'Iqlusion et Fantom ont effectué leurs paiements.

Une marge de manœuvre est accordée

Les États-Unis et l’ONU ont autorisé l’embauche de travailleurs informatiques de la RPDC en 2016 et 2017, respectivement.

Il est illégal de payer des travailleurs nord-coréens aux États-Unis, que vous le fassiez en toute connaissance de cause ou non – un concept juridique appelé « responsabilité stricte ».

L’endroit où une entreprise est basée n’a pas nécessairement d’importance : embaucher des travailleurs de la RPDC peut comporter des risques juridiques pour toute entreprise qui fait des affaires dans des pays qui appliquent des sanctions contre la Corée du Nord.

Cependant, les États-Unis et d’autres États membres de l’ONU n’ont pas encore poursuivi une entreprise de crypto-monnaie pour avoir embauché des travailleurs informatiques nord-coréens.

Le département du Trésor américain a ouvert une enquête sur Iqlusion, une société basée aux États-Unis, mais Manian affirme que l'enquête s'est terminée sans aucune sanction.

Les autorités américaines ont fait preuve de clémence en matière d’accusations contre les entreprises – reconnaissant dans une certaine mesure qu’elles étaient victimes, au mieux, d’un type de fraude d’identité inhabituellement élaboré et sophistiqué, ou, au pire, d’une longue escroquerie des plus humiliantes.

Outre les risques juridiques, payer les travailleurs informatiques de la RPDC est également « mauvais car vous payez des personnes qui sont essentiellement exploitées par le régime », a expliqué Monahan de MetaMask.

Selon le rapport de 615 pages du Conseil de sécurité de l'ONU, les travailleurs du secteur informatique de la RPDC ne conservent qu'une petite partie de leur salaire. « Les petits salariés en conservent 10 pour cent, tandis que les plus riches pourraient en conserver 30 pour cent », indique le rapport.

Même si ces salaires sont encore élevés par rapport à la moyenne nord-coréenne, « je me fiche de l’endroit où ils vivent », a déclaré Monahan. « Si je paye quelqu’un et qu’il est littéralement obligé d’envoyer la totalité de son salaire à son patron, cela me mettrait très mal à l’aise. Et cela me mettrait encore plus mal à l’aise si son patron était, vous savez, le régime nord-coréen. »

CoinDesk a contacté plusieurs employés informatiques présumés de la RPDC au cours du reportage, mais n'a pas reçu de réponse.

Se manifester

CoinDesk a identifié plus de deux douzaines d'entreprises qui employaient des informaticiens de la RPDC en analysant les enregistrements de paiement de la blockchain auprès d'entités sanctionnées par l'OFAC. Douze entreprises qui ont reçu les enregistrements ont confirmé à CoinDesk qu'elles avaient précédemment découvert des informaticiens suspects de la RPDC sur leurs listes de paie.

Certains ont refusé de commenter davantage par crainte de répercussions juridiques, mais d’autres ont accepté de partager leurs histoires dans l’espoir que d’autres puissent apprendre de leurs expériences.

Dans de nombreux cas, les employés de la RPDC se sont avérés plus faciles à identifier après leur embauche.

Eric Chen, PDG d'Injective, un projet axé sur la finance décentralisée, a déclaré avoir engagé un développeur indépendant en 2020, mais l'avoir rapidement licencié pour sous-performance.

« Il n'a pas fait long feu », a déclaré Chen. « Il écrivait du code de mauvaise qualité qui ne fonctionnait pas bien. » Ce n'est que l'année dernière, lorsqu'une « agence gouvernementale » américaine a contacté Injective, que Chen a appris que l'employé était lié à la Corée du Nord.

Plusieurs entreprises ont déclaré à CoinDesk qu’elles avaient licencié un employé avant même d’avoir connaissance de ses liens avec la RPDC – par exemple en raison d’un travail de qualité inférieure.

« La paie du lait pour quelques mois »

Cependant, les travailleurs informatiques de la RPDC sont semblables aux développeurs classiques dans le sens où leurs aptitudes peuvent varier.

D'un côté, vous avez des employés qui « se présentent, passent un entretien d'embauche et se contentent de traire la paie pour quelques mois de salaire », a déclaré Manian. « Il y a aussi un autre aspect de la situation : vous rencontrez des personnes qui, lorsque vous les interviewez, ont de très bonnes compétences techniques. »

Rust se souvient avoir eu « un très bon développeur » chez Truflation qui prétendait être de Vancouver mais qui en fait était originaire de Corée du Nord. « C'était vraiment un jeune garçon », a déclaré Rust. « J'avais l'impression qu'il venait tout juste de sortir de l'université. Un peu vert derrière les oreilles, super enthousiaste, vraiment excité de travailler sur une opportunité. »

Dans un autre cas, Cluster, une startup financière décentralisée, a licencié deux développeurs en août après que ZachXBT lui a fourni des preuves selon lesquelles ils étaient liés à la RPDC.

« C'est vraiment fou à quel point ces gars en savaient beaucoup », a déclaré à CoinDesk le fondateur pseudonyme de Cluster, z3n. Rétrospectivement, il y avait quelques « signaux d'alarme clairs ». Par exemple, « toutes les deux semaines, ils changeaient leur adresse de paiement, et tous les mois environ, ils changeaient leur nom Discord ou Telegram ».

Webcam désactivée

Lors de conversations avec CoinDesk, de nombreux employeurs ont déclaré avoir remarqué des anomalies qui avaient plus de sens lorsqu'ils ont appris que leurs employés étaient probablement nord-coréens.

Parfois, les indices étaient subtils, comme des employés dont les horaires de travail ne correspondaient pas à leur lieu de travail supposé.

D'autres employeurs, comme Truflation, ont remarqué des indices selon lesquels un employé était composé de plusieurs personnes se faisant passer pour un seul individu – quelque chose que l'employé essayait de cacher en gardant sa webcam éteinte. (Il s'agit presque toujours d'hommes).

Une entreprise a embauché une employée qui se présentait aux réunions le matin, mais semblait oublier tout ce qui était discuté plus tard dans la journée – une particularité qui a pris tout son sens lorsque l'employeur s'est rendu compte qu'elle avait parlé à plusieurs personnes.

Lorsque Rust a fait part de ses inquiétudes concernant Ryuhei, son employé « japonais », à un investisseur expérimenté dans le suivi des réseaux de paiement criminels, l'investisseur a rapidement identifié les quatre autres travailleurs informatiques présumés de la RPDC figurant sur la liste de paie de Truflation.

« Nous avons immédiatement coupé les ponts », a déclaré Rust, ajoutant que son équipe avait procédé à un audit de sécurité de son code, amélioré ses processus de vérification des antécédents et modifié certaines politiques. L'une des nouvelles politiques consistait à exiger des travailleurs à distance qu'ils allument leurs caméras.

Un piratage de 3 millions de dollars

De nombreux employeurs consultés par CoinDesk pensaient à tort que les travailleurs informatiques de la RPDC opéraient indépendamment de la branche de piratage informatique de la Corée du Nord, mais les données de la blockchain et les conversations avec des experts révèlent que les activités de piratage informatique du régime et les travailleurs informatiques sont fréquemment liés.

En septembre 2021, MISO, une plateforme créée par Sushi pour lancer des jetons cryptographiques, a perdu 3 millions de dollars dans un vol largement médiatisé. CoinDesk a trouvé des preuves que l'attaque était liée à l'embauche par Sushi de deux développeurs ayant des enregistrements de paiement blockchain liés à la Corée du Nord.

Au moment du piratage, Sushi était l'une des plateformes les plus en vue dans le monde émergent de la finance décentralisée (DeFi). Plus de 5 milliards de dollars avaient été déposés sur SushiSwap, qui sert principalement de « bourse décentralisée » permettant aux gens d'échanger entre crypto-monnaies sans intermédiaire.

Joseph Delong, directeur technique de Sushi à l'époque, a remonté la piste du vol de MISO jusqu'à deux développeurs indépendants qui ont contribué à sa création : des individus utilisant les noms d'Anthony Keller et de Sava Grujic. Delong a déclaré que les développeurs - qu'il soupçonne désormais d'être une seule personne ou organisation - ont injecté un code malveillant dans la plateforme MISO, redirigeant les fonds vers un portefeuille qu'ils contrôlaient.

Lorsque Keller et Grujic ont été embauchés par Sushi DAO, l'organisation autonome décentralisée qui régit le protocole Sushi, ils ont fourni des informations d'identification qui semblaient assez typiques - voire impressionnantes - pour les développeurs débutants.

Keller travaillait en public sous le pseudonyme « eratos1122 », mais lorsqu’il a postulé pour travailler chez MISO, il a utilisé ce qui semblait être son vrai nom, « Anthony Keller ». Dans un CV que Delong a partagé avec CoinDesk, Keller a affirmé résider à Gainesville, en Géorgie, et être diplômé de l’Université de Phoenix avec une licence en génie informatique. (L’université n’a pas répondu à une demande de confirmation quant à l’existence d’un diplômé portant ce nom.)

Le CV de Keller comprenait de véritables références à des travaux antérieurs. Parmi les plus impressionnants figurait Yearn Finance, un protocole d'investissement en crypto-monnaie extrêmement populaire qui offre aux utilisateurs un moyen de gagner des intérêts sur une gamme de stratégies d'investissement prédéfinies. Banteg, un développeur principal chez Yearn, a confirmé que Keller avait travaillé sur Coordinape, une application créée par Yearn pour aider les équipes à collaborer et à faciliter les paiements. (Banteg dit que le travail de Keller était limité à Coordinape et qu'il n'avait pas accès à la base de code principale de Yearn.)

Keller a recommandé Grujic à MISO et les deux se sont présentés comme des « amis », selon Delong. Comme Keller, Grujic a fourni un CV sous son vrai nom plutôt que son pseudonyme en ligne, « AristoK3 ». Il a affirmé être originaire de Serbie et titulaire d’une licence en informatique de l’Université de Belgrade. Son compte GitHub était actif et son CV mentionnait son expérience dans plusieurs petits projets de cryptographie et de startups de jeux.

Rachel Chu, une ancienne développeuse principale chez Sushi qui a travaillé en étroite collaboration avec Keller et Grujic avant le braquage, a déclaré qu'elle était déjà « méfiante » à l'égard du duo avant même que le piratage n'ait eu lieu.

Bien qu'ils affirment vivre à l'autre bout du monde, Grujic et Keller « avaient le même accent » et la « même façon d'envoyer des textos », a déclaré Chu. « Chaque fois que nous parlions, il y avait un bruit de fond, comme s'ils étaient dans une usine », a-t-elle ajouté. Chu se souvient avoir vu le visage de Keller mais jamais celui de Grujic. Selon Chu, la caméra de Keller était « zoomée » de sorte qu'elle ne pouvait jamais distinguer ce qui se passait derrière lui.

Keller et Grujic ont fini par arrêter de contribuer à MISO à peu près au même moment. « Nous pensons qu’Anthony et Sava sont la même personne », a déclaré Delong, « donc nous avons arrêté de les payer. » C’était au plus fort de la pandémie de COVID-19, et il n’était pas rare que des développeurs de crypto-monnaies à distance se fassent passer pour plusieurs personnes pour extraire de l’argent supplémentaire de la masse salariale.

Après le licenciement de Keller et Grujic à l'été 2021, l'équipe Sushi a négligé de révoquer leur accès à la base de code MISO.

Le 2 septembre, Grujic a envoyé un code malveillant sur la plateforme MISO sous son nom d'écran « Aristok3 », redirigeant 3 millions de dollars vers un nouveau portefeuille de crypto-monnaie, d'après une capture d'écran fournie à CoinDesk.

L’analyse des enregistrements de paiements de la blockchain par CoinDesk suggère un lien potentiel entre Keller, Grujic et la Corée du Nord. En mars 2021, Keller a publié une adresse de blockchain dans un tweet désormais supprimé. CoinDesk a découvert plusieurs paiements entre cette adresse, l’adresse du hacker Grujic et les adresses que Sushi avait dans ses dossiers pour Keller. L’enquête interne de Sushi a finalement conclu que l’adresse appartenait à Keller, selon Delong.

CoinDesk a découvert que l'adresse en question envoyait la plupart de ses fonds à « Jun Kai » (le développeur d'Iqlusion qui a envoyé de l'argent à Kim Sang Man, sanctionné par l'OFAC) et à un autre portefeuille qui semble servir de proxy à la RPDC (car lui aussi a payé Kim).

L'enquête interne de Sushi a permis de confirmer la théorie selon laquelle Keller et Grujic étaient nord-coréens. Elle a révélé que les deux hommes utilisaient fréquemment des adresses IP en Russie, où, selon l'OFAC, les informaticiens nord-coréens de la RPDC sont parfois basés. (Le numéro de téléphone américain figurant sur le CV de Keller est hors service et ses comptes Github et Twitter « eratos1122 » ont été supprimés.)

De plus, CoinDesk a découvert des preuves montrant que Sushi avait employé un autre sous-traitant informatique présumé de la RPDC en même temps que Keller et Grujic. Le développeur, identifié par ZachXBT comme « Gary Lee », s'est fait passer pour LightFury et a transféré ses gains vers « Jun Kai » et une autre adresse proxy liée à Kim.

Après que Sushi eut publiquement attribué l'attaque au pseudonyme de Keller, « eratos1122 », et menacé de faire appel au FBI, Grujic a restitué les fonds volés. Bien qu'il puisse sembler contre-intuitif qu'un informaticien de RPDC se soucie de protéger une fausse identité, les informaticiens de RPDC semblent réutiliser certains noms et bâtir leur réputation au fil du temps en contribuant à de nombreux projets, peut-être pour gagner en crédibilité auprès de futurs employeurs.

Quelqu’un aurait pu décider que protéger l’alias Anthony Keller était plus lucratif à long terme : en 2023, deux ans après l’incident de Sushi, une personne nommée « Anthony Keller » a postulé chez Truflation, la société de Stefan Rust.

Les tentatives de contacter « Anthony Keller » et « Sava Grujic » pour obtenir des commentaires ont été infructueuses.

Des braquages ​​à la RPDC

Selon l'ONU, la Corée du Nord a volé plus de 3 milliards de dollars de cryptomonnaies au cours des sept dernières années grâce à des piratages informatiques. Parmi les piratages informatiques que la société d'analyse de blockchain Chainalysis a suivis au cours du premier semestre 2023 et qui, selon elle, sont liés à la RPDC, « environ la moitié d'entre eux impliquaient des vols liés à des travailleurs informatiques », a déclaré Madeleine Kennedy, porte-parole de la société.

Les cyberattaques nord-coréennes ne ressemblent pas à la version hollywoodienne du piratage informatique, où des programmeurs portant des sweats à capuche s'introduisent dans des ordinateurs centraux à l'aide d'un code informatique sophistiqué et de terminaux informatiques noirs et verts.

Les attaques de type RPDC sont résolument plus simples à mettre en œuvre. Elles font généralement appel à une forme d’ingénierie sociale, où l’attaquant gagne la confiance d’une victime qui détient les clés d’un système, puis extrait ces clés directement par un simple lien malveillant envoyé par e-mail.

« Jusqu'à présent, nous n'avons jamais vu la RPDC se livrer à un véritable exploit », a déclaré Monahan. « Il s'agit toujours d'ingénierie sociale, puis de compromission de l'appareil, puis de compromission des clés privées. »

Les professionnels de l’informatique sont bien placés pour contribuer aux braquages ​​en RPDC, soit en extrayant des informations personnelles qui pourraient être utilisées pour saboter une cible potentielle, soit en obtenant un accès direct à des systèmes logiciels remplis d’argent numérique.

Une série de coïncidences

Le 25 septembre, alors que cet article était sur le point d'être publié, CoinDesk a programmé un appel vidéo avec Rust, de Truflation. Le plan était de vérifier certains détails qu'il avait partagés précédemment.

Rust, très énervé, a rejoint l'appel avec 15 minutes de retard. Il venait d'être piraté.

CoinDesk a contacté plus d'une vingtaine de projets qui semblaient avoir été dupés en embauchant des informaticiens de la RPDC. Au cours des deux dernières semaines de rapport, deux de ces projets ont été piratés : Truflation et une application d'emprunt de crypto-monnaies appelée Delta Prime.

Il est trop tôt pour déterminer si l’un ou l’autre de ces piratages était directement lié à l’embauche par inadvertance de travailleurs informatiques de la RPDC.

Delta Prime a été le premier à être piraté, le 16 septembre. CoinDesk avait auparavant découvert des paiements et des contributions de code reliant Delta Prime à Naoki Murano, l'un des développeurs liés à la RPDC rendus publics par ZachXBT, le détective pseudonyme de la blockchain.

Le projet a perdu plus de 7 millions de dollars, officiellement à cause d'une « clé privée compromise ». Delta Prime n'a pas répondu aux nombreuses demandes de commentaires.

Le piratage de Truflation a eu lieu moins de deux semaines plus tard. Rust a remarqué que des fonds sortaient de son portefeuille de crypto-monnaies environ deux heures avant l'appel avec CoinDesk. Il venait de rentrer d'un voyage à Singapour et se demandait ce qu'il avait fait de mal. "Je n'ai aucune idée de ce qui s'est passé", a-t-il déclaré. "J'avais tous mes carnets enfermés dans le coffre-fort mural de mon hôtel. J'avais mon téléphone portable avec moi tout le temps".

Des millions de dollars quittaient les portefeuilles personnels de Rust alors qu'il parlait. « Je veux dire, c'est vraiment nul. C'est l'école de mes enfants, les frais de retraite. »

Truflation et Rust ont finalement perdu environ 5 millions de dollars. La cause officielle était le vol d'une clé privée.