FBI a saisi 15,1 millions de stablecoins ! Des hackers nord-coréens infiltrent 136 entreprises américaines, des révélations en interne.

Le ministère de la Justice des États-Unis a annoncé la semaine dernière qu'il avait soumis une demande pour confisquer des stablecoins Tether USDT d'une valeur de 15,1 millions de dollars, ces stablecoins ayant été saisis à partir de pirates nord-coréens liés à l'organisation APT38. Dans le même temps, quatre citoyens américains et un citoyen ukrainien ont plaidé coupables, reconnaissant avoir aidé des informaticiens nord-coréens à infiltrer 136 entreprises aux États-Unis, ces plans ayant généré plus de 2,2 millions de dollars de revenus pour le régime nord-coréen.

FBI a saisi 15,1 millions de dollars USDT stablecoin

（source : Département de la Justice des États-Unis）

Le ministère américain de la Justice a annoncé le 14 novembre qu'il avait intenté deux actions civiles de confiscation, cherchant à saisir des stablecoins Tether USDT d'une valeur de 15,1 millions de dollars, qui ont été volés en 2023 par des pirates nord-coréens. Les cryptomonnaies saisies proviennent de la menace persistante avancée 38 (APT38), un groupe de hackers militaires nord-coréens qui a mené des vols contre quatre plateformes de cryptomonnaies à l'étranger en 2023. Le FBI a saisi ces fonds en mars 2025 et cherche actuellement l'approbation du tribunal pour confisquer ces actifs afin de les restituer aux victimes.

Les stablecoins saisis proviennent de quatre incidents, dont l'annonce ne précise pas exactement lesquels, mais les indices suggèrent qu'ils pourraient inclure : l'attaque par des hackers de l'échange Poloniex en novembre 2023, entraînant une perte de plus de 100 millions de dollars, l'attaque par des hackers de la société de cryptomonnaie CoinsPaid en juillet 2023, entraînant une perte de 37 millions de dollars, la perte d'environ 60 millions de dollars par le processeur de paiement Alphapo au cours du même mois, ainsi qu'un incident non précisé concernant le vol d'environ 138 millions de dollars dans un échange de cryptomonnaie au Panama en novembre 2023. Le ministère américain de la Justice n'a pas encore confirmé publiquement quels événements sont couverts par cette saisie.

Les cas d'utilisation des stablecoins comme outils de blanchiment d'argent soulignent à nouveau l'urgence de la régulation des actifs numériques. Les stablecoins tels que USDT, en raison de leur caractéristique d'être indexés 1:1 sur le dollar, sont extrêmement pratiques pour les transferts transfrontaliers, mais ils sont également devenus l'outil privilégié des organisations criminelles pour le blanchiment d'argent. L'agence a déclaré dans un communiqué : « Le suivi, la saisie et la confiscation des cryptomonnaies volées connexes se poursuivent, car les membres d'APT38 continuent de blanchir de l'argent via divers ponts de cryptomonnaie, mélangeurs, échanges et courtiers OTC. »

Cette opération de saisie montre que, bien que les transactions de stablecoin sur la blockchain soient anonymes, la capacité des agences d'application de la loi à les suivre s'améliore. Grâce à des outils d'analyse en chaîne et à la coopération avec les échanges, le FBI a pu suivre le flux des stablecoins volés et finalement geler ces actifs. C'est une bonne nouvelle pour les utilisateurs légitimes de stablecoins, mais cela rappelle également que la pression réglementaire sur les stablecoins en matière de lutte contre le blanchiment d'argent continuera d'augmenter.

Un citoyen américain devient un agent double pour aider la Corée du Nord à infiltrer

Vendredi, le ministère de la Justice des États-Unis a également annoncé avoir obtenu des plaidoyers de culpabilité de quatre citoyens américains et d'un citoyen ukrainien, qui ont admis avoir aidé des travailleurs en informatique nord-coréens à obtenir des emplois dans des entreprises américaines par des moyens frauduleux en fournissant des identités volées et des ordinateurs portables d'entreprise. Les quatre citoyens américains - Audric Fagernas, 24 ans, Jason Salazar, 30 ans, Alexander Paul Travis, 34 ans, et Eric Entkreezer Prince, 38 ans - ont plaidé coupables de conspiration à commettre une fraude en télécommunications.

Ils fournissent leurs informations d'identité aux travailleurs nord-coréens et placent les ordinateurs portables fournis par l'entreprise chez eux, ce qui donne l'impression que ces travailleurs travaillent aux États-Unis. Ce mode opératoire est extrêmement discret, les informaticiens nord-coréens travaillant en réalité à distance depuis Pyongyang ou d'autres lieux, mais apparaissant dans le système de l'entreprise comme des employés locaux américains grâce à l'identité et à la connexion Internet de citoyens américains. Cette méthode non seulement contourne les restrictions légales sur l'emploi d'étrangers, mais rend également les vérifications des antécédents de l'entreprise inefficaces.

Le citoyen ukrainien Oleksandr Didenko a plaidé coupable le 10 novembre, admettant avoir commis une conspiration à des fins de fraude téléphonique et un vol d'identité aggravé, accusé d'avoir volé des informations d'identité de citoyens américains et de les avoir vendues à des employés informatiques nord-coréens. Didenko a aidé des nord-coréens à obtenir des emplois dans 40 entreprises américaines et a accepté, dans le cadre d'un accord de plaidoyer, de renoncer à plus de 1,4 million de dollars de biens. Cette affaire montre que le programme d'infiltration informatique de la Corée du Nord a déjà formé une chaîne industrielle, avec des personnes spécifiquement responsables du vol d'identité, de l'hébergement à distance d'équipements et de la réception des salaires.

Le ministère de la Justice des États-Unis a déclaré que ces plans ont affecté plus de 136 entreprises américaines, générant plus de 2,2 millions de dollars de revenus pour le régime nord-coréen et révélant l'identité de plus de 18 citoyens américains. Bien que 2,2 millions de dollars ne soient pas considérables par rapport à la taille de l'économie globale, le risque stratégique associé à cette infiltration dépasse de loin la perte économique. Le personnel informatique nord-coréen pourrait avoir accès à des technologies sensibles, à des données clients et même à des informations liées à la défense.

Méthodes clés du programme d'infiltration informatique de la Corée du Nord

Vol d'identité : vol ou achat d'informations d'identité de citoyens américains

Hébergement à distance : Les citoyens américains hébergent des ordinateurs portables fournis par leur entreprise à domicile.

Localisation fausse : faire apparaître les travailleurs nord-coréens comme étant basés aux États-Unis grâce à une adresse IP américaine.

Transfert de salaire : Transférer les salaires vers la Corée du Nord via un réseau financier complexe.

Révélation de la chaîne de criminalité liée aux cryptomonnaies en Corée du Nord

La Corée du Nord dépend de plus en plus du vol de cryptomonnaies et des programmes de travailleurs informatiques à distance pour générer des revenus, ce qui enfreint les sanctions internationales. Dans un rapport consultatif publié en 2022, le FBI, le département du Trésor et le département d'État des États-Unis ont averti que les travailleurs informatiques nord-coréens pouvaient gagner jusqu'à 300 000 USD par an, et qu'ils avaient transféré des centaines de millions de dollars vers des programmes gérés par le ministère de la Défense nord-coréen. Cette source de revenus est essentielle pour le régime nord-coréen, qui fait face à de sévères sanctions internationales.

Selon l'analyse d'Elliptic, rien qu'en 2025, des hackers nord-coréens ont volé plus de 2 milliards de dollars en cryptomonnaies, faisant du régime l'une des opérations de vol de cryptomonnaies les plus répandues au monde. Ce chiffre dépasse de loin celui des organisations criminelles en ligne traditionnelles, montrant que la Corée du Nord considère le vol de cryptomonnaies comme une ressource stratégique au niveau national. Des groupes de hackers comme APT38 bénéficient du soutien militaire et possèdent des capacités techniques hautement spécialisées et des investissements financiers continus.

Les stablecoins jouent un rôle clé dans ces activités criminelles. Comparé à la volatilité des prix du Bitcoin et de l'Ethereum, la caractéristique des stablecoins liée au dollar les rend plus adaptés en tant qu'outils pour transférer et stocker des fonds volés. Les hackers convertissent généralement d'abord les cryptomonnaies volées en stablecoins, puis effectuent du blanchiment d'argent par le biais de mixeurs et de ponts inter-chaînes. Cette méthode permet de maintenir une valeur stable tout en utilisant l'anonymat de la blockchain pour échapper à la traçabilité.

Cependant, les émetteurs de stablecoins renforcent leur coopération avec les agences d'application de la loi. Tether a déjà aidé à geler des USDT liés à des activités criminelles à plusieurs reprises, et le fait que le FBI ait pu saisir 15,1 millions de dollars USDT montre également que le mécanisme de collaboration entre les agences d'application de la loi et les émetteurs de stablecoins devient de plus en plus mature. Pour les utilisateurs légitimes, c'est une arme à double tranchant : d'une part, cela améliore la sécurité et la conformité des stablecoins, d'autre part, cela signifie également que les transactions de stablecoins ne sont pas complètement introuvables.

La chaîne de criminalité en cryptomonnaie de la Corée du Nord est désormais hautement développée, incluant plusieurs aspects tels que les attaques par des hackers, le blanchiment d'argent, le vol d'identité et l'infiltration IT à distance. Des organisations comme APT38 sont spécialement chargées d'attaquer les échanges de cryptomonnaies et les protocoles DeFi, volant des fonds et les convertissant en espèces ou en d'autres actifs difficiles à tracer via des réseaux de blanchiment d'argent professionnels. Les travailleurs IT à distance fournissent une source de revenus continue et peuvent également fournir des renseignements internes pour les actions des hackers.

Régulation des stablecoins et mesures de prévention pour les entreprises

Cette affaire constitue un avertissement pour l'industrie des stablecoins et les entreprises employeurs. Pour les émetteurs de stablecoins, la pression en matière de conformité aux lois anti-blanchiment et de sanctions continuera d'augmenter. Le Bureau de contrôle des avoirs étrangers (OFAC) du Département du Trésor américain a déjà mis sur liste noire plusieurs adresses de cryptomonnaies liées à la Corée du Nord, et les émetteurs de stablecoins doivent surveiller ces adresses en temps réel et geler les fonds associés.

Pour les entreprises, prévenir l'infiltration des professionnels de l'informatique nord-coréens devient un nouveau défi de sécurité. Les enquêtes traditionnelles peuvent ne pas identifier les travailleurs à distance utilisant des identités volées. Les entreprises doivent renforcer leurs processus d'authentification, y compris les entretiens vidéo, l'authentification multi-facteurs et la surveillance comportementale continue. Pour les postes traitant des informations sensibles, il peut être nécessaire d'exiger que les employés travaillent au bureau ou passent par des vérifications de sécurité plus strictes.

L'action du ministère de la Justice des États-Unis montre que les agences d'application de la loi s'attaquent aux activités criminelles liées aux cryptomonnaies en Corée du Nord à plusieurs niveaux. En plus de suivre et de saisir des stablecoins volés, elles s'attaquent également aux infrastructures qui soutiennent ces activités, y compris les réseaux de vol d'identité et les services d'hébergement à distance. Les peines encourues par les cinq personnes ayant plaidé coupable enverront un message fort aux autres potentiels complices.