La Corée du Nord pointée du doigt pour près de la moitié des cyberattaques ciblant le secteur tech américain

Un rapport de la firme de cybersécurité CrowdStrike, couvrant la période du 1er avril 2025 au 31 mars 2026, révèle l'ampleur des activités cybernétiques de la Corée du Nord contre le secteur technologique mondial. Le groupe de menace étatique baptisé « Famous Chollima » serait responsable de 47 % de l'ensemble des opérations interactives parrainées par un État visant les entreprises de la tech. Ces attaques, qualifiées de « hands-on-keyboard » – c'est-à-dire menées par des humains en temps réel –, représentent une menace particulièrement difficile à contrer.

Des hackers infiltrés comme employés à distance

Le mode opératoire de Famous Chollima est d'une sophistication redoutable. Plutôt que de recourir uniquement à des logiciels malveillants, les pirates nord-coréens s'infiltrent directement dans les entreprises en se faisant embaucher comme développeurs ou administrateurs systèmes, principalement pour des postes en télétravail. Pour ce faire, ils utilisent l'intelligence artificielle générative afin de créer des deepfakes vidéo en temps réel lors des entretiens d'embauche en visioconférence, usurpant l'identité de citoyens lambda. Ces subterfuges sont appuyés par de faux documents d'identité, tels que des passeports ou des permis de conduire volés. Une fois recrutés, ces agents deviennent des « salariés fantômes » capables d'exfiltrer des données sensibles ou de déployer des rançongiciels.

Cette infiltration permet à la Corée du Nord de générer une double source de revenus. D'une part, les salaires versés par les entreprises sont détournés et rapatriés vers Pyongyang, contournant ainsi les sanctions internationales. D'autre part, l'accès aux réseaux internes facilite le vol de secrets industriels et les demandes de rançons. En parallèle, le groupe cible activement les plateformes de finance décentralisée, une spécialité nord-coréenne. Le rapport de CrowdStrike indique que le régime a ainsi dérobé plus de 2 milliards de dollars en cryptomonnaies au cours de l'année 2025, des fonds qui serviraient à financer son programme d'armement nucléaire.

Une menace qui s'étend au-delà de l'Amérique du Nord

Si les entreprises nord-américaines demeurent les cibles prioritaires – elles concentrent 45 % des attaques mondiales subies par le secteur technologique –, les experts soulignent que la menace est devenue globale. Les tactiques de Famous Chollima touchent désormais les entreprises implantées en Europe et en Asie. Google avait d'ailleurs déjà alerté sur une recrudescence des cyberattaques nord-coréennes en Europe menées par des « guerriers de l'informatique ». Pour accroître leur efficacité, ces groupes n'hésitent pas à s'allier avec d'autres puissances, comme en témoigne une alliance documentée entre des hackers russes et nord-coréens.

Des conséquences financières et géopolitiques majeures

Au-delà des pertes financières directes, ces activités clandestines représentent une menace géopolitique de premier ordre. Le financement du programme nucléaire nord-coréen via des cyberattaques et des vols de cryptomonnaies compromet les efforts de la communauté internationale pour faire pression sur le régime. Le rapport de CrowdStrike met en lumière l'industrialisation de ces méthodes, transformant des experts informatiques en véritables chevaux de Troie au sein des organigrammes des entreprises occidentales. Face à cette menace, la vigilance sur les processus de recrutement à distance est devenue une priorité absolue pour les directeurs de la sécurité informatique.