Infiltrations dans la DeFi : comment des hackers nord-coréens ont détourné 270 millions de dollars via des profils d'ingénieurs

Q: Qu'est-ce que le groupe UNC4736 et quelles sont ses activités ?

Le groupe UNC4736 , également connu sous les pseudonymes AppleJeus ou Citrine Sleet , est un collectif de cybercriminels affilié à l'État nord-coréen. Selon les rapports de cybersécurité, ce groupe est actif depuis plusieurs années et se spécialise dans le vol de cryptomonnaies via des infiltrations d'entreprises et des attaques ciblées sur les protocoles DeFi. Ses méthodes incluent l'utilisation de faux profils professionnels, l'exploitation de vulnérabilités logicielles et des attaques par ingénierie sociale.

Le 1er avril 2026, le protocole de trading décentralisé Drift a subi une attaque d'une ampleur inédite, entraînant la perte de 270 millions de dollars en quelques minutes seulement. Pourtant, cette cybercriminalité ne s'est pas déclenchée dans l'urgence. Selon Cryptoast, l'intrusion remonte à l'automne 2025, lorsque des individus se présentant comme des développeurs d'une société de trading quantitatif ont pris contact avec l'équipe de Drift lors d'une conférence crypto.

Cette opération d'infiltration, méthodique et prolongée, illustre une nouvelle forme de menace pour l'écosystème de la finance décentralisée (DeFi). Derrière des profils impeccables – parcours professionnel vérifiable, maîtrise technique et intégration progressive dans les projets – se cachaient des agents liés à la Corée du Nord, selon les investigations menées par les équipes de Drift. L'attribution pointe vers le groupe UNC4736, également connu sous les pseudonymes AppleJeus ou Citrine Sleet, déjà identifié par les experts en cybersécurité pour ses activités malveillantes.

Ce qu'il faut retenir

Le protocole Drift a perdu 270 millions de dollars le 1er avril 2026 après une infiltration de six mois par un groupe de hackers nord-coréens.
Les attaquants ont utilisé de faux profils de développeurs, intégrant des équipes via des échanges professionnels légitimes avant de déclencher l'attaque.
Le groupe UNC4736, affilié à la Corée du Nord, est suspecté d'être à l'origine de cette opération.
D'autres protocoles comme Morpho ou Dfns ont également identifié des candidats suspects lors de leurs processus de recrutement.
Les protocoles DeFi, avec leurs processus de gouvernance décentralisés et leurs signatures multiples, constituent des cibles privilégiées pour ce type d'attaques.
Des vulnérabilités dans des outils comme TestFlight, VSCode ou Cursor ont permis aux hackers de compromettre les appareils des employés et d'obtenir les approbations nécessaires.

Une infiltration en six étapes, étalée sur six mois

Selon le rapport publié par les équipes de Drift, l'opération a débuté à l'automne 2025 lors d'une conférence dédiée à l'écosystème crypto. Un groupe se présentant comme une société de trading quantitatif a pris contact avec plusieurs contributeurs du protocole. Leur approche était méticuleuse : des échanges techniques approfondis, la création d'un groupe Telegram dédié, et l'intégration progressive dans l'écosystème. En décembre 2025 et janvier 2026, les faux développeurs ont déposé plus d'un million de dollars dans Drift, rencontré physiquement des membres de l'équipe lors de conférences internationales, et intégré un Ecosystem Vault.

Cette infiltration a duré près de six mois avant que l'attaque ne soit déclenchée. Les hackers ont exploité deux vecteurs principaux pour compromettre les appareils des employés : une application TestFlight malveillante – distribuée via la plateforme d'Apple réservée aux tests d'applications – et une faille connue dans les éditeurs de code VSCode et Cursor. Une simple ouverture de fichier suffisait à exécuter du code arbitraire en silence, permettant aux attaquants de prendre le contrôle des machines.

Des méthodes de recrutement sophistiquées et difficiles à détecter

Cette stratégie d'infiltration ne se limite pas à Drift. Selon Cryptoast, d'autres acteurs de la DeFi ont été confrontés à des tentatives similaires. En décembre 2024, Paul Frambot, cofondateur du protocole Morpho, avait alerté sur le réseau social X : sur 30 candidats interviewés en une semaine, six présentaient des profils suspects, probablement liés à des hackers nord-coréens utilisant des deepfakes pour masquer leur accent et leurs expressions faciales.

Côté Dfns, une infrastructure de sécurité crypto, Clarisse Hagège, cofondatrice de la startup, a révélé lors d'un podcast que trois candidats avaient été identifiés comme liés à des réseaux nord-coréens. « La façon la plus directe d'attaquer une infrastructure qui te permettra d'accéder à des fonds, c'est en rentrant dans l'entreprise », a-t-elle souligné. Ces agents malveillants sont capables d'injecter du code malveillant dans les systèmes, que ce soit au niveau du front-end ou du back-end.

Mike Silagadze, fondateur du protocole ether.fi – gérant plus de 5 milliards de dollars de valeur totale verrouillée –, a partagé une expérience similaire. Un candidat avait réussi tous les tests techniques et comportementaux, obtenu des références élogieuses, et était sur le point de recevoir une offre. Pourtant, des vérifications auprès de Google, Figma et d'anciens employeurs supposés n'ont révélé aucune trace, soulignant la sophistication des identités construites de toutes pièces.

Des protocoles DeFi particulièrement vulnérables

Les protocoles de finance décentralisée, bien que conçus pour offrir une sécurité accrue grâce à des modèles de gouvernance décentralisés et des signatures multiples (multisig), présentent des failles structurelles exploitées par les attaquants. Ces systèmes, souvent gérés par des équipes réduites, reposent sur des processus de recrutement moins formalisés et une culture de la confiance entre pairs, ce qui les rend plus exposés aux infiltrations.

Chez Drift, les hackers ont obtenu les deux approbations multisig nécessaires en compromettant les appareils des employés. Les transactions pré-signées sont restées dormantes plus d'une semaine avant d'être exécutées le 1er avril 2026. Comme le note le rapport de Drift, la question est désormais posée : quel modèle de sécurité peut détecter un adversaire prêt à investir six mois et un million de dollars pour construire une présence légitime au sein d'un écosystème ?

« Ce sont des structures plus décentralisées, avec moins de contrôle sur les process de recrutement. Ça ne m'étonne pas que le ratio soit plus élevé. » — Clarisse Hagège, cofondatrice de Dfns

Comment se prémunir contre ces infiltrations ? Les bonnes pratiques émergentes

Face à cette menace croissante, l'industrie crypto commence à organiser une réponse collective. Dfns, par exemple, a été alertée par un confrère ayant déployé un système sophistiqué de scan et de suivi des profils de candidats, capable de détecter les agents malveillants en amont. Plusieurs signaux d'alerte ont été identifiés : un faible nombre de connexions LinkedIn, des profils disparaissant après quelques mois, une incapacité à fournir des coordonnées professionnelles d'anciens collègues encore en poste, ou encore une disponibilité totale à toute heure sans contrainte.

Pour renforcer leurs défenses, les protocoles adoptent des mesures plus strictes. Dfns a mis en place des parcours de recrutement longs et exigeants : appel introductif, tests de personnalité et cognitifs, panel d'entretiens avec plusieurs ingénieurs, vérification systématique de trois références, et vérification approfondie des antécédents. « Les gens oublient de les faire, mais les références fonctionnent vraiment très bien », rappelle Clarisse Hagège.

De son côté, Drift appelle tous les protocoles à auditer leurs contrôles d'accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. « Quel modèle de sécurité est conçu pour détecter un adversaire prêt à investir six mois et un million de dollars pour construire une présence légitime ? », s'interroge le rapport du protocole.

Et maintenant ?

L'affaire Drift pourrait servir de catalyseur pour une prise de conscience collective au sein de l'écosystème crypto. Les protocoles DeFi, déjà sous pression pour renforcer leurs mesures de sécurité, devraient multiplier les audits internes et les collaborations avec des experts en cybersécurité. Une normalisation des processus de recrutement, incluant des vérifications poussées des antécédents et des tests techniques indépendants, pourrait devenir la norme. Reste à voir si ces mesures suffiront à endiguer une menace dont la sophistication ne cesse de croître.

L'industrie crypto, qui pèse désormais des centaines de milliards de dollars, doit faire face à une réalité : les cybercriminels ne ciblent plus seulement les failles techniques, mais aussi les failles humaines. La vigilance, la formation des équipes et l'adoption de bonnes pratiques deviendront des piliers essentiels pour protéger un écosystème en constante évolution.

Le groupe UNC4736, également connu sous les pseudonymes AppleJeus ou Citrine Sleet, est un collectif de cybercriminels affilié à l'État nord-coréen. Selon les rapports de cybersécurité, ce groupe est actif depuis plusieurs années et se spécialise dans le vol de cryptomonnaies via des infiltrations d'entreprises et des attaques ciblées sur les protocoles DeFi. Ses méthodes incluent l'utilisation de faux profils professionnels, l'exploitation de vulnérabilités logicielles et des attaques par ingénierie sociale.

Les attaquants ont exploité deux vulnérabilités principales : une application TestFlight malveillante, distribuée via la plateforme d'Apple réservée aux tests d'applications, et des failles connues dans les éditeurs de code VSCode et Cursor. Ces failles permettaient d'exécuter du code arbitraire en silence, simplement en ouvrant un fichier, ce qui a permis aux hackers de prendre le contrôle des appareils des employés.