Une vaste escroquerie organisée par Pyongyang frappe GitHub, Upwork et Freelancer

Les hackers nord-coréens ont déjà siphonné des millions en bitcoin et ether, figurant parmi les pires cauchemars de la communauté crypto. Craints, traqués, maudits, ils échappent pourtant à tous les filets. Car récemment, ils ne se contentent plus de voler : ils recrutent, organisent, infiltrent et structurent. GitHub, Upwork, Freelancer… toutes les plateformes sont devenues des terrains de chasse. Et ce qu’ils visent désormais, ce n’est plus seulement le jackpot, mais l’ossature même de l’économie décentralisée.

Quand les recruteurs IA et les faux profils infestent les plateformes tech

En 2024, Pyongyang, qui compte plus de 60 développeurs sur les plateformes crypto, a franchi une nouvelle étape dans sa guerre numérique. Les hackers du régime ne se contentent plus de répondre aux offres : ils les créent. Sur Upwork, Freelancer ou GitHub, ils publient des annonces destinées à attirer des développeurs spécialisés en crypto. Derrière ces offres apparemment ordinaires se cache un plan bien huilé : le candidat est invité à télécharger un projet hébergé sur GitHub, censé servir de test technique. Le code contient un malware, souvent du type BeaverTail.

Pour rendre ces pièges indétectables, les agents nord-coréens utilisent l’IA pour générer des visages, falsifier des voix et produire des documents officiels ultra-crédibles. Ils emploient des outils sophistiqués pour enrichir les dossiers d’identité, modifier les photos et les voix afin de tromper les systèmes de vérification. 

Rien n’est laissé au hasard : l’apparence, le son, les détails administratifs sont optimisés pour passer les contrôles sans éveiller le moindre soupçon.

Exigez un entretien vidéo en direct et interactif lors du processus de sélection, afin de s’assurer que l’apparence du candidat correspond à la photo de profil et aux documents soumis (souvent volés ou générés par IA).

Heiner García Pérez, membre de SEAL Intel

Ces faux profils deviennent de véritables chevaux de Troie. Le système KYC des plateformes n’est plus une barrière, mais un outil de camouflage. C’est une guerre d’apparence où le régime nord-coréen mène la danse.

Ingénierie sociale et exploitation humaine : des recruteurs au sourire numérique

L’ingéniosité nord-coréenne ne s’arrête pas aux outils. Elle s’appuie sur les faiblesses humaines. Les agents de Pyongyang ciblent les personnes vulnérables : freelances isolés, Ukrainiens en crise, femmes cherchant l’indépendance économique. Sur des forums comme InterPals ou AbleHere, les approches commencent toujours en douceur : un échange amical, une promesse de revenu, un test rapide.

Puis vient la spirale : documents d’identité, logiciels comme AnyDesk, prise de contrôle du compte freelance. Les « recrutés » deviennent des prête-noms. Et le partage est clair : 20 % pour eux, 80 % pour l’opérateur.

Un document interne retrouvé dans les fichiers d’un hacker indique une organisation quasi-militaire : scripts de contact, procédures d’intégration, PowerPoint explicatif. La fraude devient une sous-traitance numérique.

La communauté crypto, qui repose sur la décentralisation, est la proie idéale. Les portefeuilles numériques sont accessibles, les freelances crypto sont nombreux, les identités circulent.

Derrière ce système, une vérité glaçante : Pyongyang exploite des individus pour en tromper d’autres. Et tout cela sous un masque amical, bienveillant, presque engageant.

Réseaux opaques, crypto et IA : le business plan de Pyongyang

Ce que la Corée du Nord a mis en place s’apparente à un plan industriel. Les paiements transitent par les plateformes de freelances vers des comptes bancaires ou des portefeuilles crypto détenus par des « proxies ». Ensuite, les fonds sont rapatriés sous forme de crypto-actifs à Pyongyang ou chez ses complices.

L’IA joue encore un rôle ici : profils générés, historiques d’activité simulés, faux appels Zoom pour valider les identités. Les recruteurs demandent parfois à leurs collaborateurs d’enrôler leur entourage, formant un réseau pyramidal difficile à tracer.

La sphère crypto devient le canal idéal pour ces flux invisibles : pas de banque, pas de régulateur, pas de douane.

Résumé visuel des faits clés :

• Plus de 300 développeurs ciblés depuis 2024 ;
• Paiement redistribué selon une règle : 80 % opérateur / 20 % proxy ;
• Plateformes infiltrées : Upwork, Freelancer, GitHub… ;
• Usage massif de l’IA pour le vol d’identité; 
• Malwares répandus : BeaverTail, InvisibleFerret.

Ce modèle fonctionne car il mêle technologie et manipulation psychologique, avec une efficacité redoutable. Les plateformes, souvent dépassées, peinent à bloquer ces comptes qui réapparaissent sous d’autres noms, d’autres visages.

Les hackers nord-coréens ont saigné à blanc l’univers crypto en 2024. Avec 1.3 billion de dollars siphonnés, ils signent une année record. Leur stratégie évolue. Leur puissance aussi. Jusqu’où iront-ils ?