Des hackers liés à la Corée du Nord ont été responsables de vols de cryptomonnaies sans précédent en 2025, les sociétés d’analyse blockchain rapportant que des acteurs affiliés au régime ont volé environ plus de 2 milliards de dollars en cryptoactifs au cours de l’année. Ces activités ont marqué le plus gros exploit annuel attribué à la Corée du Nord dans le secteur des cryptomonnaies et ont poursuivi un schéma à plus long terme de cybervols liés à l’État utilisé pour générer des revenus.
Des analyses menées par plusieurs organisations de renseignement blockchain ont montré que les acteurs cybernétiques nord-coréens se concentraient sur un mélange de violations majeures d’échanges et d’autres compromis à forte valeur. L’un des événements les plus significatifs a été une exploitation majeure de la plateforme d’échange de cryptomonnaies Bybit en février 2025, où des attaquants ont pris le contrôle de clés privées et retiré d’énormes quantités d’actifs numériques peu après leur exécution. Ce vol unique, d’une valeur d’environ 1,5 milliard de dollars, fut l’un des plus grands braquages individuels de cryptomonnaies jamais enregistrés et représentait une grande part de la valeur volée connue de l’année.
Les chercheurs ont également documenté que la part nord-coréenne du vol mondial de cryptomonnaies était substantielle par rapport à d’autres acteurs malveillants. En 2025, jusqu’à 60 à 76 % de la valeur totale volée aux services centralisés a été attribuée à des acteurs liés à la République populaire démocratique de Corée (RPDC), selon des estimations de l’industrie. Ce schéma a démontré à la fois le ciblage stratégique des échanges centralisés et l’ampleur à laquelle ces opérations étaient menées par rapport à d’autres groupes malveillants.
Le contexte plus large de ces activités montre un changement de tactique ainsi que d’échelle. Elliptic, une société de renseignement blockchain, a rapporté que les opérateurs cyber nord-coréens ont mené plus de 30 piratages distincts contre des plateformes d’échange et d’autres services de cryptomonnaies en 2025, portant leur total cumulé de cryptos volées depuis 2017 à bien plus de 6 milliards de dollars. Ces vols de 2025 auraient été causés par une combinaison de compromis technique de l’infrastructure du boursier et de l’ingénierie sociale visant les administrateurs de service et les utilisateurs privilégiés.
Une partie de la stratégie opérationnelle a consisté à cibler de grandes plateformes de détention et de trading où un seul compromis d’accès privilégié peut entraîner des pertes de valeur extrêmement élevées. En visant des services centralisés avec des réserves substantielles, les assaillants ont pu maximiser l’impact monétaire de chaque incident. Les analystes ont noté que cette focalisation sur les réserves de cryptomonnaies concentrées contribuait à la part disproportionnée des pertes de 2025 liées à la Corée du Nord.
Parallèlement aux violations majeures de plateformes, des incidents plus petits mais notables ont également été signalés attribués à des hackers liés à la RPDC. Par exemple, des observateurs de l’industrie et des autorités sud-coréennes ont signalé des enquêtes sur des vols de dizaines de millions de dollars en cryptomonnaies provenant de services tels qu’Upbit, où des compromis de clés privées ou des retraits anormaux ont émergé fin 2025, les forces de l’ordre invoquant des tactiques et infrastructures compatibles avec des groupes liés à la Corée du Nord.
Les données du secteur suggèrent que 2025 a représenté non seulement une année record pour le vol de cryptomonnaies nord-coréens en termes absolus, mais aussi une période où les méthodes utilisées sont devenues plus systématiques, reflétant une approche industrialisée pour générer des revenus par une combinaison de violations à forte valeur, d’ingénierie sociale et de blanchiment sophistiqué d’actifs volés. Les analystes blockchain ont noté que les fonds volés passaient souvent par des services complexes de mixage et de pontage, suivis de conversions en ligne et hors ligne, illustrant comment les opérations de vol de cryptomonnaies nord-coréennes ont mûri tant sur le plan technique qu’opérationnel.
Les implications financières de ces vols vont au-delà des pertes immédiates elles-mêmes. Les recettes issues des vols de blockchain ont été liées aux efforts du gouvernement nord-coréen pour contourner les sanctions internationales et subventionner les priorités des États. Des analyses indépendantes et un suivi par des sociétés de renseignement financier ont identifié des schémas de blanchiment et de transferts inter-chaînes qui correspondent aux sources de revenus connues de la cybercriminalité en RPDC, soulignant les conséquences géopolitiques plus larges de la menace.
Pris ensemble, les données de 2025 montrent que les acteurs nord-coréens du cyberespace ont renforcé leur position de force dominante dans le paysage du vol de cryptomonnaies. Leurs opérations ont contribué en grande partie des quelque 3,4 milliards de dollars d’actifs crypto totaux signalés comme volés à l’échelle de l’industrie, la part liée à la RPDC dépassant largement celle d’autres groupes liés à l’État ou criminels pour l’année.
L’évolution continue de ces opérations souligne les défis auxquels sont confrontés les opérateurs d’échanges, les dépositaires et les détenteurs individuels pour protéger les actifs numériques. À mesure que la sophistication technique et économique des attaquants grandit, la cybersécurité des plateformes de cryptomonnaies ainsi que la protection des clés privées et de l’accès administratif restent des préoccupations centrales pour l’industrie.