Un nouveau rapport du géant de la cybersécurité CrowdStrike révèle que les hackers nord-coréens se faisant passer pour des travailleurs informatiques et des recruteurs en ligne représentaient environ la moitié de toutes les intrusions « hands-on-keyboard » documentées dans les entreprises technologiques américaines au cours de l’année écoulée.
Le groupe Famous Chollima
Le rapport annuel de l’entreprise sur le paysage de la cybersécurité souligne la menace croissante des opératifs nord-coréens, devenus une source significative d’intrusions dans l’industrie technologique. CrowdStrike indique que le groupe de hackers nord-coréen qu’elle appelle « Famous Chollima » a représenté 47 % de toutes les activités soutenues par un État ciblant le secteur technologique entre avril 2025 et mai 2026.
Qu’est-ce qu’une intrusion « hands-on-keyboard » ?
CrowdStrike suit les intrusions « hands-on-keyboard » car elles représentent de véritables hackers humains menant des activités cyber malveillantes et furtives, plutôt que des malwares automatisés que les outils de sécurité traditionnels peuvent détecter. Ces attaques commencent généralement par des mots de passe ou identifiants volés, suivis de l’abus d’outils légitimes déjà présents dans les systèmes de la cible.
La méthode : faux travailleurs IT
Famous Chollima est connu pour se faire passer pour des travailleurs technologiques (développeurs, codeurs, IT) et postuler à des emplois à distance dans des entreprises américaines, européennes et asiatiques sous de faux prétextes. Pour y parvenir, les hackers utilisent l’IA pour générer des deepfakes en temps réel et les associent à des documents d’identité frauduleux (passeports volés, permis de conduire).
Une fois infiltrés, les hackers touchent également un salaire des entreprises qu’ils infiltrent, reversé au régime nord-coréen, tout en volant des propriétés intellectuelles et d’autres informations sensibles. Ces informations volées sont souvent utilisées comme arme : lorsque les opératifs sont finalement démasqués, ils menacent de révéler ce qu’ils ont pris à moins que l’entreprise ne paie une rançon.
Vol de crypto-monnaies
Les hackers ciblent également les développeurs blockchain dans le but de voler de grandes quantités de crypto-monnaies, que le régime Kim utilise pour contourner son incapacité générale à utiliser le système bancaire occidental. La Corée du Nord a accumulé des milliards de dollars de crypto-monnaies volées au fil des ans, dont environ 2 milliards de dollars rien qu’en 2025.
