La Corée du Nord mise sur l’infiltration et les piratages pour des millions

Une nouvelle enquête sur le piratage de la bourse décentralisée Drift, qui a entraîné le vol de 285 millions de dollars, révèle une méthode d’attaque inquiétante. Les pirates ne se sont pas d’abord installés derrière un ordinateur, mais ont commencé sur le terrain lors de conférences internationales sur les cryptomonnaies. Pendant six mois, ils se sont fait passer pour une entreprise de trading professionnel et ont noué des relations avec les employés de Drift.

De la poignée de main au piratage

Selon l’entreprise d’analyse blockchain TRM Labs, les attaquants ont approché plusieurs employés lors de conférences dans divers pays. Ce qui semblait être un réseau normal était en réalité une infiltration sophistiquée. Les attaquants ont investi six mois dans la construction de la confiance avant de passer à l’action.

Cette approche est inédite. Les grandes attaques précédentes dans le secteur des cryptomonnaies étaient presque toujours numériques : par hameçonnage, logiciels compromis ou faux recrutements. Dans le cas de Drift, le premier contact a eu lieu en face à face, rendant la menace beaucoup plus difficile à identifier.

Un faux token comme arme finale

Une fois la confiance établie, l’attaque technique a suivi. Les pirates ont introduit un faux token, le CarbonVote Token, et ont créé artificiellement un volume de transactions pour le rendre crédible. Le système de Drift a accepté le token comme garantie, ce qui a permis d’augmenter les limites de retrait et de détourner 285 millions de dollars.

Selon TRM Labs, le blanchiment a été plus rapide et plus agressif que lors du piratage de Bybit de 1,4 milliard de dollars plus tôt cette année.

La Corée du Nord développe un réseau d’infiltration

L’attaque s’inscrit dans un schéma plus large. Les groupes nord-coréens combinent de plus en plus des piratages à grande échelle avec une infiltration de longue durée. Ils se font passer pour des développeurs de logiciels, postulent dans des entreprises technologiques et gagnent jusqu’à 1 million de dollars par mois grâce à de fausses identités. Depuis novembre, ces procédés ont permis de récolter plus de 3,5 millions de dollars.

Les attaquants utilisent des ordinateurs dans d’autres pays pour que leurs activités paraissent locales. Selon les Nations Unies, les fonds servent à financer le programme d’armement nord-coréen.

Les conférences comme nouvelle surface d’attaque

La leçon est claire pour le secteur des cryptomonnaies. La sécurité ne concerne plus seulement le code, les pare-feux et la gestion des clés. La manipulation sociale et le contact personnel font désormais partie de l’arsenal d’attaque des hackers étatiques.

Les entreprises doivent entraîner leurs employés à rester vigilants même hors ligne. Un interlocuteur professionnel à une conférence peut aussi bien être un agent nord-coréen qu’un client potentiel. Le piratage de Drift montre que la frontière entre réseautage et infiltration est plus mince que jamais.