Plus de 100 000 opérateurs nord-coréens infiltrent des entreprises occidentales sous fausse identité, alimentant les programmes d’armement de Pyongyang. Le Trésor américain a frappé en mars un réseau qui aurait blanchi 800 millions de dollars en 2024.
Un dispositif d’État aux dimensions industrielles
Une enquête conjointe publiée le 18 mars 2026 par les équipes de renseignement sur les menaces IBM X-Force et Flare Research documente l’ampleur d’une opération de fraude étatique sans équivalent connu. Selon les données reprises par les chercheurs, une analyse de 2024 identifie plus de 100 000 travailleurs répartis dans 40 pays, et les revenus annuels liés à ces activités atteignent environ 500 millions de dollars. Certains opérateurs parviennent à dégager des salaires individuels supérieurs à 300 000 dollars par an.
Les estimations des Nations unies situent les recettes annuelles du dispositif entre 200 et 600 millions de dollars, hors produits des vols de cryptomonnaies réalisés en parallèle, qui se chiffrent en milliards. La société Chainalysis estime que les pirates nord-coréens ont volé plus de 2 milliards de dollars en cryptomonnaies en 2025, dont un piratage record de 1,5 milliard de dollars de la plateforme d’échange Bybit.
Une hiérarchie à quatre étages
L’écosystème mis au jour repose sur quatre fonctions distinctes :
- Les recruteurs, chargés du tri initial des candidats et des entretiens d’embauche.
- Les facilitateurs, qui gèrent les fausses identités, coordonnent l’envoi des candidatures et arbitrent les embauches.
- Les informaticiens, opérationnels, généralement spécialisés en développement full-stack, .NET et WordPress.
- Les collaborateurs occidentaux, recrutés majoritairement via LinkedIn et GitHub, qui prêtent leur identité réelle, réceptionnent les ordinateurs portables professionnels, signent les documents d’embauche et passent les vérifications de casier judiciaire — voire les tests de dépistage de stupéfiants.
Certains candidats ignorent travailler pour Pyongyang. Les recruteurs leur présentent l’employeur comme une « startup furtive en phase initiale », parfois sous l’appellation « C Digital LLC », et leur fournissent une identité américaine.
Un rythme industriel : 400 candidatures par jour
Les feuilles de pointage saisies par les enquêteurs comptabilisent jusqu’à la seconde le temps consacré aux « Bids » (offres déposées sur Upwork ou Freelancer) et aux « Msg » (messages et connexions établies sur LinkedIn). La documentation interne examinée par les chercheurs montre des assistants soumettant 400 candidatures par jour sur LinkedIn, Indeed et Dice. Les CV sont adaptés à la géographie de la fausse identité : un nom français appelle un curriculum de développeur français, accompagné de fausses références imitant le format d’adresse e-mail réel des employeurs cités.
Les missions en freelance rapportent entre 200 et 1 000 dollars par projet. Les postes à temps plein constituent toutefois le segment le plus lucratif, certains opérateurs cumulant plusieurs emplois simultanément.
Infrastructure technique : RB Site, NetKey, IP Messenger
Les analystes ont identifié plusieurs plateformes internes inédites. RB Site, attribuée à Ryonbong — entité sanctionnée par Washington — fait office de tableau de bord pour suivre les appareils, l’infrastructure et les paiements. NetkeyRegister assure la création de comptes. NetKey et OConnect, un VPN exploité depuis Pyongyang, gèrent les accès réseau. Les communications opérationnelles transitent par IP Messenger, une application open source qui contourne les plateformes centralisées américaines.
Google Translate reste un marqueur omniprésent : il intervient dans la quasi-totalité des étapes, de la traduction des offres d’emploi à la rédaction des messages échangés avec les recruteurs.
Pénétration massive du Fortune 500
L’ampleur de l’infiltration dans les grandes entreprises occidentales est désormais documentée. Charles Carmakal, directeur technique de Mandiant Consulting (filiale de Google Cloud), a déclaré lors de la conférence RSAC 2025 qu’« il y a des centaines d’entreprises du Fortune 500 qui ont embauché ces travailleurs IT nord-coréens ». La société de gestion des risques internes DTEX indique que 7 % de sa clientèle, un échantillon représentatif du Fortune 2000, a été infiltrée par des opérateurs nord-coréens occupant des postes à temps plein avec accès privilégiés.
L’éditeur de cybersécurité CrowdStrike, qui suit ce groupe sous le nom de Famous Chollima, recense une augmentation de 220 % du nombre d’entreprises ayant embauché des développeurs nord-coréens sur les douze derniers mois, avec plus de 320 entreprises infiltrées. Le ministère américain de la Justice a démantelé en 2025 une ferme d’ordinateurs portables exploitée depuis l’Arizona par Christina Chapman : à elle seule, l’opération de Chapman a aidé les travailleurs à obtenir 309 emplois ayant généré 17,1 millions de dollars de revenus, et près de 70 Américains ont vu leur identité volée. L’équipementier Nike figure parmi les victimes désignées.
Harrison Leggio, fondateur de la startup crypto g8keep, estime que 95 % des CV reçus en réponse à ses annonces émanent d’ingénieurs nord-coréens se faisant passer pour des Américains.
Sanctions OFAC et flux cryptographiques
Le 12 mars 2026, le Bureau de contrôle des actifs étrangers (OFAC) du Trésor américain a frappé un réseau ayant orchestré ce dispositif. Ces dispositifs ont systématiquement ciblé des entreprises américaines et généré près de 800 millions de dollars en 2024 pour financer les programmes d’armes de destruction massive et de missiles balistiques de la République populaire démocratique de Corée.
Six individus et deux entités sont visés, dont la société nord-coréenne Amnokgang Technology Development Company, accusée de superviser les délégations d’informaticiens à l’étranger. Nguyen Quang Viet, dirigeant de la société vietnamienne Quangvietdnbg International Services, est désigné pour avoir converti environ 2,5 millions de dollars en cryptomonnaie pour le compte d’opérateurs nord-coréens entre mi-2023 et mi-2025. Yun Song Guk, ressortissant nord-coréen basé à Boten (Laos), coordonnait des transactions liées à plus de 70 000 dollars de prestations freelance.
L’OFAC a également inscrit sur sa liste 21 adresses de portefeuilles cryptographiques réparties sur les blockchains Ethereum, Tron et Bitcoin. La désignation d’adresses sur plusieurs réseaux blockchain reflète l’approche multi-chaînes de plus en plus utilisée par la RPDC pour déplacer ses fonds. Le réseau opère depuis le Vietnam, le Laos et l’Espagne.
Intelligence artificielle générative et passage à l’extorsion
Microsoft Threat Intelligence, qui suit le groupe sous le nom Jasper Sleet, indique avoir suspendu plus de 3 000 comptes Outlook et Hotmail créés par des opérateurs nord-coréens. L’éditeur observe depuis 2024 un recours systématique à l’IA générative pour remplacer les photos sur les documents d’identité volés, retoucher les visages, modifier la voix lors des entretiens et produire des CV synthétiques en masse.
Mandiant signale un virage tactique récent. Confrontés à la multiplication des licenciements lorsque leur couverture saute, les opérateurs se retournent contre leurs anciens employeurs : menaces de divulgation des données auxquelles ils ont eu accès, demandes de versement du dernier salaire ou de la prime de signature, voire création de fausses personae se présentant comme des hackers ayant exfiltré les données.
Signaux faibles à surveiller
Les recommandations adressées aux directions des ressources humaines et aux équipes de sécurité convergent autour de plusieurs marqueurs :
- Incohérences entre le CV et les déclarations en entretien — notamment sur les langues parlées et le lieu de résidence ;
- Photos de profil retouchées ou présentant des artefacts d’IA générative ;
- Utilisation détectée de logiciels de modification du visage ou de la voix lors des visioconférences ;
- Refus systématique des interactions en personne, y compris pour les étapes finales de recrutement ;
- Présence des logiciels NetKey, OConnect, IP Messenger ou de trafic VPN inhabituel sur les postes professionnels.
Les chercheurs recommandent d’imposer des éléments en personne pour les postes techniques à distance lorsque cela est possible, puisque les collaborateurs peuvent refuser de se présenter physiquement, et de maintenir des sessions vidéo régulières en direct avec les salariés à distance après l’embauche.
Le FBI a inscrit au moins 14 informaticiens nord-coréens sur sa liste des cybercriminels recherchés. Le Département d’État américain offre jusqu’à 5 millions de dollars de récompense pour toute information conduisant à des arrestations.