Blanchiment cross-chain de cryptomonnaies par les hackers de la RPDC

En février 2025, un seul vol de cryptomonnaies a dépassé tous les précédents. Plus de 1,5 milliard de dollars ont été dérobés à l’échange Bybit. Ce n’était pas un hacker isolé. Ce n’était pas un groupe de criminels ordinaires. C’était le travail d’une unité secrète de l’armée nord-coréenne, agissant avec une précision militaire et une audace sans précédent. Ce vol n’était qu’un épisode dans une campagne bien plus large : le blanchiment cross-chain de cryptomonnaies par les hackers de la République populaire démocratique de Corée (RPDC).

Qui sont les véritables auteurs ?

Derrière chaque attaque majeure contre des échanges ou des portefeuilles crypto, on retrouve le même nom : Lazarus Group. Ce n’est pas une organisation criminelle au sens traditionnel. C’est une unité de guerre cybernétique du 3^e Bureau du Bureau général du renseignement de la RPDC, une branche directe du régime de Pyongyang. Le FBI a officiellement attribué le vol de Bybit à un sous-groupe nommé TraderTraitor, un agent de cette machine de guerre financière. Leur mission ? Générer des devises étrangères pour financer les programmes nucléaires et balistiques de la Corée du Nord.

En 2023, les attaques de la RPDC ont rapporté 660,5 millions de dollars. En 2024, ce chiffre a doublé pour atteindre 1,34 milliard. Et en 2025, selon Elliptic, les pertes liées à ces groupes ont dépassé les 2 milliards de dollars. Le vol de Bybit seul représente plus que l’ensemble des vols de 2023. Ce n’est pas une augmentation. C’est une escalade planifiée.

Comment ça marche ? La machine à blanchir

Autrefois, les hackers utilisaient des services de mélange comme Wasabi Wallet ou Tornado Cash pour cacher l’origine des fonds. Mais ces outils ont été bloqués, sanctionnés, fermés. Alors, ils ont changé de méthode. Et ils ont trouvé une faille plus grande : les ponts cross-chain.

Un pont cross-chain permet de transférer des actifs d’une blockchain à une autre - par exemple, de l’Ethereum vers Tron ou de Bitcoin vers Binance Smart Chain. Ces ponts sont conçus pour faciliter l’interopérabilité. Les pirates de la RPDC les utilisent comme des portes dérobées.

Voici comment ça se déroule :

1. Un portefeuille est piraté sur Ethereum. Des millions de dollars en ERC-20 sont volés.
2. Les fonds sont convertis en Ether natif, puis envoyés sur le pont Avalanche Bridge.
3. Sur Avalanche, ils sont transformés en Bitcoin, puis transférés vers BitTorrent Chain (BTTC).
4. De BTTC, ils passent sur Tron, où ils deviennent des tokens TRC-20.
5. Enfin, ils sont convertis en Bitcoin natif - un actif plus difficile à tracer et plus facile à vendre sur les marchés hors bourse (OTC).

Chaque étape efface une partie de la trace. Chaque conversion brise le lien entre l’origine et la destination. TRM Labs a identifié plus de 9 500 BTC transférés uniquement via l’Avalanche Bridge par le groupe Lazarus. Et ce n’est qu’un pont. Ils en utilisent plusieurs : Ren Bridge, Multichain, Celer, et d’autres encore.

La stratégie du « flood the zone »

Ce n’est pas une simple succession de transferts. C’est une attaque en volume. Les hackers envoient des milliers de petites transactions en quelques secondes. Ils inondent les systèmes de surveillance. Les analystes sont submergés. Les algorithmes de détection se perdent. C’est ce que Nick Carlsen, ancien expert du FBI chez TRM Labs, appelle la stratégie du « flood the zone ».

Imaginez un vol à main armée où les voleurs ne fuient pas en voiture. Ils déclenchent une centaine d’alarmes en même temps, dans dix quartiers différents. Pendant que la police court d’un endroit à l’autre, ils s’échappent par une porte qu’on n’a même pas vue.

Les hackers de la RPDC n’ont pas besoin d’être invisibles. Ils ont besoin de rendre la traque impossible. Et ça marche. Même les meilleures entreprises de forensic blockchain comme Chainalysis et TRM Labs doivent maintenant combiner des données de 15 blockchains différentes pour suivre un seul transfert.

Le nouveau terrain de jeu : les particuliers

Les grandes cibles ne sont plus seulement les échanges. En 2025, les pirates ont pivoté vers les particuliers. Des investisseurs riches, des PDG de startups crypto, des développeurs qui gardent leurs clés privées sur des téléphones ou des clés USB. Ces personnes n’ont pas les ressources de Bybit. Elles ne disposent pas de systèmes de sécurité en temps réel. Elles sont vulnérables.

Les attaques ne sont plus seulement techniques. Elles sont sociales. Un faux emploi sur LinkedIn. Un message sur Telegram qui prétend être un support technique. Une fausse application de portefeuille qui copie votre clé privée. Elliptic le dit clairement : « Le point faible dans la sécurité crypto, ce n’est plus la technologie. C’est l’humain. »

Un seul clic. Une seule erreur. Et des millions disparaissent. Pas besoin de pirater un serveur. Il suffit de tromper une personne.

Et les autorités ? Que font-elles ?

Les agences de renseignement ont réagi. En août 2023, le FBI a publié une liste de 1 200 adresses Bitcoin liées au groupe Lazarus. Des échanges comme Binance et Kraken ont bloqué ces adresses. Mais les pirates s’adaptent. Ils créent de nouvelles adresses chaque jour. Ils utilisent des portefeuilles non custody. Ils passent par des OTC non régulés en Asie du Sud-Est.

Les outils de traçage ont évolué aussi. TRM Labs a lancé TRM Phoenix, un système capable de suivre automatiquement les fonds à travers les ponts cross-chain. Mais chaque fois qu’un nouvel outil est déployé, la RPDC développe une nouvelle technique. Elle utilise des blockchains obscurcies, peu analysées, où les données sont rares. Elle crée ses propres tokens, qu’elle fait circuler sur des réseaux décentralisés pour masquer les flux. Elle utilise des « adresses de remboursement » : des adresses qui semblent être des retours de transaction, mais qui en réalité redirigent les fonds vers de nouveaux portefeuilles.

C’est une course aux armements. Et jusqu’à présent, la RPDC est en avance.

Le lien avec les armes nucléaires

Ce n’est pas juste du vol. C’est un financement d’État. Un rapport des Nations Unies en 2024 a confirmé que les opérations cybernétiques de la RPDC financent directement son programme d’armes nucléaires. Un haut responsable de l’administration Biden a déclaré en 2024 que près de la moitié des revenus en devises étrangères de la Corée du Nord proviennent de la cybercriminalité.

Chaque bitcoin volé est un missile en construction. Chaque pont cross-chain utilisé est une ligne d’approvisionnement pour une arme. Les États-Unis, l’Union européenne, le Japon et la Corée du Sud ont imposé des sanctions. Mais les sanctions ne bloquent pas les ponts. Elles ne bloquent pas les adresses créées en 5 minutes. Elles ne bloquent pas les gens qui cliquent sur un lien malveillant.

Qu’est-ce que ça change pour vous ?

Si vous êtes un utilisateur ordinaire de crypto, vous n’êtes pas directement ciblé. Mais vous êtes affecté. La confiance dans les échanges diminue. Les frais augmentent. Les régulations se resserrent. Les plateformes exigent des vérifications plus lourdes. Les innovations sont freinées par la peur.

Et si vous êtes un détenteur de crypto, vous êtes une cible. Votre portefeuille n’est pas sécurisé parce que vous avez un mot de passe fort. Il est sécurisé parce que vous n’avez pas cliqué sur le mauvais lien. Parce que vous n’avez pas partagé votre phrase de récupération. Parce que vous avez compris que la technologie ne protège pas - c’est le comportement qui protège.

Que faire maintenant ?

• Ne jamais utiliser de portefeuilles en ligne pour de grandes sommes. Utilisez un portefeuille matériel.
• Ne jamais cliquer sur des liens dans des messages non sollicités, même s’ils semblent venir d’un support technique.
• Activez l’authentification à deux facteurs (2FA) sur toutes vos comptes, mais évitez SMS - préférez les applications comme Authy ou Google Authenticator.
• Surveillez vos transactions. Si vous voyez un transfert inconnu, agissez immédiatement.
• Ne gardez pas vos clés privées sur votre ordinateur ou votre téléphone. Écrivez-les sur papier. Stockez-les dans un endroit sûr.

La RPDC ne va pas arrêter. Elle ne peut pas. Son économie dépend de ce vol. Mais vous, vous pouvez vous protéger. Parce que dans cette guerre invisible, la meilleure défense, c’est la vigilance.