Des travailleurs informatiques nord-coréens ont utilisé plus de 30 fausses identités pour cibler des entreprises de cryptomonnaie : rapport

Un appareil compromis d'un travailleur informatique nord-coréen a exposé le fonctionnement interne de l'équipe derrière le piratage de 680 000 $ de Favrr et leur utilisation des outils Google pour cibler des projets crypto.

Selon le détective on-chain ZachXBT, la piste a commencé avec une source anonyme qui a obtenu l'accès à l'ordinateur d'un des travailleurs, découvrant des captures d'écran, des exportations Google Drive et des profils Chrome qui ont levé le voile sur la façon dont les opérateurs planifiaient et exécutaient leurs stratagèmes.

S'appuyant sur l'activité des portefeuilles et la correspondance des empreintes numériques, ZachXBT a vérifié les sources et lié les transactions de cryptomonnaies du groupe à l'exploitation de juin 2025 de la place de marché de Fan Token Favrr. Une adresse de portefeuille, "0x78e1a", montrait des liens directs avec les fonds volés lors de l'incident.

À l'intérieur de l'opération

L'appareil compromis a révélé que la petite équipe — six membres au total — partageait au moins 31 fausses identités. Pour décrocher des emplois de développement blockchain, ils ont accumulé des pièces d'identité gouvernementales et des numéros de téléphone, achetant même des comptes LinkedIn et Upwork pour compléter leur couverture.

Un script d'entretien trouvé sur l'appareil montrait qu'ils se vantaient d'avoir de l'expérience dans des entreprises blockchain connues, notamment Polygon Labs, OpenSea et Chainlink.

Les outils Google étaient au centre de leur flux de travail organisé. Les acteurs malveillants utilisaient des feuilles de calcul Drive pour suivre les budgets et les calendriers, tandis que Google Translate comblait le fossé linguistique entre le coréen et l'anglais. 

Parmi les informations extraites de l'appareil figurait une feuille de calcul montrant que les travailleurs informatiques louaient des ordinateurs et payaient pour des accès VPN afin d'acheter de nouveaux comptes pour leurs opérations.

L'équipe s'appuyait également sur des outils d'accès à distance comme AnyDesk, leur permettant de contrôler les systèmes clients sans révéler leurs véritables emplacements. Les journaux VPN liaient leur activité à plusieurs régions, masquant les adresses IP nord-coréennes.

Des découvertes supplémentaires ont révélé que le groupe recherchait des moyens de déployer des tokens sur différentes blockchains, prospectait des entreprises d'IA en Europe et cartographiait de nouvelles cibles dans l'espace crypto.

Les acteurs malveillants nord-coréens utilisent des emplois à distance

ZachXBT a trouvé le même modèle signalé dans plusieurs rapports de cybersécurité — des travailleurs informatiques nord-coréens décrochant des emplois légitimes à distance pour s'infiltrer dans le secteur crypto. En se faisant passer pour des développeurs freelance, ils obtiennent l'accès aux dépôts de code, aux systèmes backend et à l'infrastructure des portefeuilles.

Un document découvert sur l'appareil contenait des notes d'entretien et du matériel de préparation probablement destinés à être gardés à l'écran ou à proximité pendant les appels avec des employeurs potentiels.