Les récentes cyberattaques ciblant les plateformes de cryptomonnaies Drift et Kelp au mois d’avril révèlent une évolution inquiétante des méthodes employées par les groupes de hackers nord-coréens. Selon Cryptoast, ces attaques, d’une grande complexité, reposent désormais sur des techniques d’ingénierie sociale poussée et une infiltration longue durée des entreprises ciblées.

Ce qu'il faut retenir

  • Les attaques contre Drift et Kelp ont été menées par des hackers nord-coréens utilisant des méthodes d’infiltration progressive et des logiciels malveillants.
  • Ripple rejoint le Crypto ISAC, un groupe de partage d’informations sur les menaces cyber, pour renforcer la lutte contre ces cybercriminels.
  • Ces attaques s’inscrivent dans une stratégie plus large de financement illicite, la Corée du Nord ayant dérobé plus de 6 milliards de dollars en cryptomonnaies depuis 2017.
  • Le Crypto ISAC regroupe désormais plusieurs acteurs majeurs du secteur, dont Coinbase, Circle et Consensys.
  • Les profils des travailleurs nord-coréens infiltrés sont partagés au sein du groupe, incluant leurs coordonnées professionnelles et personnelles.

Les attaques récentes contre les plateformes Drift et Kelp illustrent une mutation des stratégies des cybercriminels nord-coréens. D’après Cryptoast, ces groupes ne se contentent plus de cibler directement les failles techniques, mais privilégient désormais des approches plus insidieuses. Leur méthode ? Gagner la confiance de contributeurs clés sur plusieurs mois, voire en se faisant recruter par les entreprises visées. Une fois leur légitimité établie, ils déploient des logiciels malveillants pour compromettre les appareils et contourner les indicateurs de compromission (IOC) traditionnels.

Cette tactique rend les attaques particulièrement difficiles à détecter. Les hackers nord-coréens s’appuient sur une ingénierie sociale complexe, exploitant la confiance accordée aux employés infiltrés. « Les attaques de l’intérieur sont les plus redoutables, car elles bénéficient d’une apparence de légitimité », explique un porte-parole de Cryptoast. Les victimes, souvent des employés en contact régulier avec des données sensibles, ne soupçonnent pas la présence d’un intrus parmi eux.

Pour répondre à cette menace croissante, Ripple a annoncé son adhésion au Crypto ISAC (Information Sharing and Analysis Center), une organisation à but non lucratif dédiée au partage d’informations sur les cybermenaces dans l’écosystème blockchain. Ce partenariat vise à mutualiser les données entre entreprises pour identifier et neutraliser les profils suspects avant qu’ils ne passent à l’action.

Les informations échangées au sein du Crypto ISAC incluent des listes de domaines et de portefeuilles associés à des fraudes, ainsi que des indicateurs de compromission (IOC) issus de campagnes de piratage attribuées à la Corée du Nord. Ces données permettent de repérer les travailleurs nord-coréens infiltrés, en croisant leurs profils LinkedIn, adresses e-mail, localisations et numéros de téléphone. « L’objectif est de créer une base de données exhaustive pour traquer ces individus avant qu’ils ne deviennent une menace active », précise un représentant de Ripple.

Plusieurs acteurs majeurs du secteur crypto ont déjà rejoint cette initiative, parmi lesquels figurent Coinbase, Circle et Consensys. Ces entreprises, reconnues pour leur vigilance en matière de sécurité, contribuent activement au partage d’informations. Leur participation renforce la capacité du Crypto ISAC à anticiper et contrer les cybermenaces.

« Les hacks de cryptomonnaies sont devenus une source de financement majeure pour la Corée du Nord. Depuis 2017, le pays aurait dérobé plus de 6 milliards de dollars en actifs numériques. » — Rapport de TRM Labs, cité par Cryptoast

Cette stratégie de financement illicite s’inscrit dans un contexte géopolitique tendu. La Corée du Nord, soumise à de strictes sanctions internationales, utilise les cryptomonnaies comme un moyen de contourner les restrictions économiques. Les cyberattaques contre les plateformes crypto lui offrent une source de revenus rapide et difficile à tracer, ce qui explique l’escalade des attaques ces dernières années.

Face à cette menace, les entreprises du secteur multiplient les initiatives pour renforcer leur résilience. Le Crypto ISAC représente une réponse collective, permettant aux acteurs de collaborer plutôt que de subir individuellement les attaques. Cependant, la sophistication croissante des méthodes employées par les hackers nord-coréens pose un défi de taille pour les défenseurs de l’écosystème.

Et maintenant ?

La lutte contre les cyberattaques nord-coréennes devrait s’intensifier dans les mois à venir, avec une probable augmentation des collaborations entre entreprises et autorités. Un sommet dédié à la cybersécurité dans le secteur crypto est d’ailleurs prévu pour le troisième trimestre 2026, où les membres du Crypto ISAC pourraient annoncer de nouvelles mesures de protection. Reste à voir si ces initiatives parviendront à endiguer la menace, alors que les hackers adaptent en permanence leurs méthodes.

Pour les utilisateurs de cryptomonnaies, ces attaques soulignent l’importance de sécuriser leurs actifs. Les experts recommandent l’utilisation de portefeuilles matériels et la vérification systématique des transactions. Ces bonnes pratiques, combinées aux efforts des plateformes, pourraient limiter l’impact des cybermenaces dans un écosystème de plus en plus ciblé.

La Corée du Nord utilise les cryptomonnaies comme une source de financement alternative pour contourner les sanctions internationales. Les attaques contre les plateformes crypto permettent de voler des actifs numériques difficiles à tracer et à restituer, offrant ainsi un moyen rapide de générer des revenus illicites.