Des travailleurs nord-coréens du secteur technologique infiltrent des entreprises blockchain britanniques et européennes dans un contexte de répression américaine

Google signale que des employés frauduleux du secteur technologique, liés à la Corée du Nord, infiltrent clandestinement des entreprises blockchain hors des États-Unis suite au renforcement des enquêtes gouvernementales dans ce pays. Certains d'entre eux ont également eu accès à des projets crypto britanniques.

Le rapport de Google a souligné que les faux employés ont également intensifié leurs tentatives d'extorsion en réaction aux demandes de maintien de leurs sources de revenus face à la répression américaine.

Des travailleurs nord-coréens du secteur technologique infiltrent des entreprises britanniques

Dans un rapport publié le 2 avril, Jamie Collier, conseiller du Google Threat Intelligence Group (GTIG), a déclaré que même si les États-Unis restent une cible principale, les travailleurs nord-coréens du secteur informatique ont été contraints de trouver un emploi dans des entreprises non américaines en raison d'une sensibilisation accrue et des difficultés liées à la vérification du droit au travail.

Collier a déclaré qu'ils avaient créé un réseau mondial de fausses identités afin d'améliorer leur flexibilité opérationnelle face à la prise de conscience accrue de cette menace aux États-Unis.

Il a ajouté : « Conjuguée à la découverte de facilitateurs au Royaume-Uni, cela suggère la formation rapide d'une infrastructure mondiale et d'un réseau de soutien qui permettent la poursuite de leurs activités. » 

Le conseiller du groupe de renseignement sur les menaces de Google a affirmé que des employés affiliés à la Corée du Nord infiltrent des projets allant du développement web traditionnel aux applications blockchain de pointe, y compris ceux impliquant la création destracintelligents Solana et Anchor.

De plus, il a également été découvert que des travailleurs nord-coréens étaient impliqués dans un autre projet utilisant la technologie blockchain pour créer une application web d'intelligence artificielle et une plateforme d'emploi basée sur la blockchain.

« Ces individus se font passer pour des télétravailleurs légitimes afin d'infiltrer les entreprises et de générer des revenus pour le régime », a déclaré Collier. Les entreprises qui emploient du personnel informatique originaire de la République populaire démocratique de Corée (RPDC) s'exposent ainsi à des risques de perturbation, de vol de données et d'espionnage.

Les employés nord-coréens ont intensifié leurs opérations pour maintenir leurs sources de revenus

Collier a déclaré qu'à l'exception du Royaume-Uni, l'accent était mis sur l'Europe, un membre du GTIG utilisant au moins 12 identités différentes provenant de tout le continent et d'autres utilisant des CV mentionnant des domiciles en Slovaquie et des diplômes de l'Université de Belgrade en Serbie.

Dans une autre analyse de GTIG, ils ontdentun courtier proposant de faux passeports, desdentde connexion pour des comptes d'utilisateurs de sites web européens de recherche d'emploi, des conseils sur la façon d'utiliser les sites d'emploi européens et de fausses identités recherchant du travail en Allemagne et au Portugal.

À noter que, depuis fin octobre, les travailleurs nord-coréens ont multiplié les tentatives d'extorsion et ciblé des organisations de plus grande envergure.

GTIG avance l'hypothèse que cela est dû au fait que les travailleurs subissent des pressions pour maintenir leurs revenus face à la répression américaine.

Collier a indiqué que, dans ces cas-là, des employés du service informatique récemment licenciés menaçaient de divulguer des informations sensibles à un concurrent ou à leurs anciens employeurs. Ces informations comprenaient le code source de projets internes ainsi que des données confidentielles.

Par ailleurs, en janvier, le ministère américain de la Justice a inculpé deux ressortissants nord-coréens pour participation à un système de fraude informatique impliquant au moins 64 entreprises américaines entre avril 2018 et août 2024.

Le Bureau du contrôle des avoirs étrangers du département du Trésor américain a également imposé des sanctions à des entreprises qui prétendaient être des façades pour la Corée du Nord et qui tiraient profit de systèmes de travail informatique à distance.

D'après des fondateurs de cryptomonnaies, les pirates informatiques nord-coréens intensifient leurs activités. Le 13 mars, au moins trois d'entre eux ont signalé avoir déjoué des tentatives de vol de données sensibles via de faux appels Zoom.

chercheur spécialisé dans la blockchain, ZachXBT, a révélé avoir découvert un réseau de développeurs nord-coréens hautement qualifiés gagnant 500 000 dollars par mois en travaillant sur des projets de cryptomonnaie « établis ».