Lazarus 2.0 : comment la Corée du Nord infiltre la DeFi de l’intérieur

📋 En bref (TL;DR)

  • Le groupe nord-coréen Lazarus a infiltré plus de 40 plateformes DeFi depuis 2020, avec des développeurs se faisant passer pour des freelances occidentaux. ZachXBT a identifié 21 développeurs nord-coréens gagnant 300 000 à 500 000 $ par mois. Le DEX Stabble a découvert que son ancien CTO était un agent de Pyongyang. Au total, la Corée du Nord a dérobé 6,75 milliards de dollars en cryptomonnaies, dont 285 millions via le hack de Drift en 2025.

Lazarus Group : de hackers à développeurs infiltrés dans la DeFi

Le Lazarus Group, unité de cyberguerre rattachée au Bureau général de reconnaissance de Corée du Nord, a profondément évolué. Longtemps cantonné aux attaques frontales — piratage de exchanges, phishing ciblé, exploitation de failles — le groupe a opéré un virage stratégique depuis l’été DeFi de 2020 : l’infiltration humaine des projets blockchain.

Selon l’enquêteur blockchain ZachXBT, au moins 21 développeurs nord-coréens opèrent actuellement sous de fausses identités dans l’écosystème crypto. Ces agents se présentent comme des freelances occidentaux sur des plateformes comme GitHub, Discord et LinkedIn, postulent à des postes de développeur, et s’intègrent progressivement aux équipes techniques des protocoles DeFi.

Taylor Monahan, chercheuse en sécurité chez MetaMask, estime que plus de 40 plateformes DeFi ont été infiltrées par des agents nord-coréens depuis 2020, un chiffre bien supérieur aux estimations initiales du FBI.

21 développeurs nord-coréens démasqués : l’enquête ZachXBT

En mars 2026, l’enquêteur on-chain ZachXBT a publié les résultats d’une investigation de plusieurs mois révélant un réseau structuré de 21 développeurs liés au régime de Kim Jong-un. Ces individus travaillaient simultanément pour plusieurs projets crypto, utilisant des identités fabriquées avec des photos générées par intelligence artificielle et des CV falsifiés.

Chaque développeur générait entre 300 000 et 500 000 dollars de revenus mensuels, reversés en grande partie au programme d’armement nucléaire nord-coréen. Le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont confirmé l’existence de ce réseau, estimant que 3 000 à 7 000 travailleurs IT nord-coréens opèrent dans le monde, dont une part significative dans le secteur crypto.

Le mode opératoire est rodé : les développeurs infiltrés accèdent progressivement aux clés privées, aux systèmes de gouvernance et aux smart contracts critiques. Une fois en position, ils peuvent soit exfiltrer directement les fonds, soit installer des portes dérobées exploitées ultérieurement par les hackers de Lazarus.

Stabble : quand le CTO d’un DEX est un agent de Pyongyang

Le cas le plus spectaculaire de 2026 concerne Stabble, un exchange décentralisé (DEX) sur Solana. L’équipe a découvert que son ancien directeur technique (CTO) était en réalité un agent nord-coréen opérant sous une fausse identité. L’individu avait accès aux smart contracts du protocole, aux clés d’administration et au code source complet pendant plusieurs mois.

Stabble a publié un post-mortem détaillé révélant les signaux d’alerte ignorés : refus d’appels vidéo, horaires de travail décalés, utilisation de VPN multiples et reluctance à fournir des documents d’identité. Ce cas illustre la vulnérabilité structurelle des projets DeFi, souvent gérés par de petites équipes distribuées qui recrutent sans vérification approfondie des identités.

6,75 milliards de dollars volés : le bilan chiffré des cyberattaques nord-coréennes

Le programme de cybervol nord-coréen représente désormais un total estimé de 6,75 milliards de dollars dérobés, toutes cibles confondues (crypto, banques, entreprises). En crypto seule, les attaques majeures incluent :

Le hack de Ronin Network (Axie Infinity) en 2022 pour 620 millions de dollars, le piratage de Harmony Bridge pour 100 millions, et plus récemment le hack de Drift Protocol en 2025 pour 285 millions de dollars. À chaque fois, les fonds sont blanchis via des mixeurs comme Tornado Cash — que Lazarus a modifié plus de 250 fois selon les documents du Département de la Justice américain — puis convertis en monnaies fiduciaires via des réseaux de mules financières en Asie du Sud-Est.

Le Département du Trésor américain estime que le programme cyber nord-coréen finance environ 40 % du programme de missiles balistiques du pays, faisant de la crypto un enjeu direct de sécurité nationale.

Comment la Corée du Nord blanchit les cryptomonnaies volées

Le processus de blanchiment de Lazarus suit un schéma désormais bien documenté par les forces de l’ordre. Les fonds volés sont d’abord envoyés vers des centaines de wallets intermédiaires via des transactions automatisées. Ils transitent ensuite par des mixeurs (Tornado Cash principalement, avec des modifications sur mesure pour contourner les sanctions) avant d’être convertis en Bitcoin.

Les Bitcoin sont ensuite acheminés vers des brokers OTC (over-the-counter) en Chine et en Asie du Sud-Est, qui les convertissent en yuan ou en dollars. L’opération Nisos, menée par une firme de cybersécurité éponyme, a permis de piéger plusieurs de ces intermédiaires en créant de faux profils de recruteurs crypto pour identifier les agents nord-coréens.

Malgré ces efforts, les autorités estiment ne récupérer que 5 à 10 % des fonds volés, le reste étant blanchi avec succès dans les 48 à 72 heures suivant chaque attaque.

Comment se protéger contre les infiltrations nord-coréennes

Le FBI et la CISA ont publié des alertes conjointes détaillant les mesures de protection pour les projets crypto et les investisseurs. Pour les protocoles DeFi, les recommandations incluent : la vérification d’identité approfondie (KYC développeur) pour tout contributeur ayant accès au code critique, l’utilisation de multisignatures pour les wallets de trésorerie, et des audits de sécurité réguliers du code source.

Pour les investisseurs particuliers en France, le risque direct est limité mais réel : un protocole infiltré peut perdre la totalité de ses fonds utilisateurs. Il est recommandé de privilégier les protocoles audités par des firmes reconnues (Certik, Trail of Bits, OpenZeppelin), de diversifier ses positions DeFi et de vérifier que les équipes des projets sont identifiées publiquement (doxxées).

Glossaire
Lazarus Group : unité de cyberguerre rattachée au Bureau général de reconnaissance de Corée du Nord, responsable de milliards de dollars de vols crypto.
DeFi (Finance décentralisée) : écosystème de services financiers construits sur des blockchains, sans intermédiaire centralisé (banque, courtier).
DEX (Decentralized Exchange) : plateforme d’échange décentralisée permettant d’échanger des cryptomonnaies sans passer par un tiers de confiance.
Tornado Cash : protocole de mixage sur Ethereum qui anonymise les transactions en rompant le lien entre l’adresse source et l’adresse de destination.
Multisignature (multisig) : mécanisme de sécurité exigeant plusieurs signatures (clés privées) pour autoriser une transaction, réduisant le risque de vol.
On-chain : se dit d’une analyse ou d’une donnée directement issue de la blockchain, vérifiable par tous et immuable.
Smart contract : programme informatique auto-exécutable déployé sur une blockchain, qui exécute automatiquement les termes d’un accord.

Questions fréquentes

Combien la Corée du Nord a-t-elle volé en cryptomonnaies ?

Le programme de cybervol nord-coréen a dérobé un total estimé de 6,75 milliards de dollars, incluant des attaques majeures comme Ronin Network (620 M$), Drift (285 M$) et Harmony Bridge (100 M$). Ces fonds financent environ 40 % du programme de missiles balistiques du pays.

Comment Lazarus infiltre-t-il les projets DeFi ?

Les agents nord-coréens se font passer pour des développeurs freelances occidentaux avec de fausses identités (photos IA, CV falsifiés). Ils postulent sur GitHub et Discord, intègrent les équipes techniques, puis accèdent progressivement aux clés privées et smart contracts critiques pour exfiltrer les fonds.

Comment savoir si un projet DeFi a été infiltré par la Corée du Nord ?

Les signaux d’alerte incluent : développeurs refusant les appels vidéo, horaires de travail décalés, utilisation de VPN multiples, reluctance à fournir des documents d’identité. Privilégiez les protocoles dont les équipes sont publiquement identifiées et auditées par des firmes reconnues (Certik, Trail of Bits).

Les investisseurs français sont-ils concernés par les hacks Lazarus ?

Oui, indirectement. Si vous déposez des fonds sur un protocole DeFi infiltré, vous risquez de perdre la totalité de votre investissement. Il est recommandé de diversifier ses positions, d’utiliser des protocoles audités et de ne pas concentrer ses fonds sur un seul protocole.

Que font les autorités pour contrer les hackers nord-coréens ?

Le FBI, la CISA et le Département du Trésor américain ont publié des alertes conjointes et sanctionné Tornado Cash. L’opération Nisos a permis de piéger des intermédiaires. Cependant, les autorités n’estiment récupérer que 5 à 10 % des fonds volés, le reste étant blanchi en 48-72 heures.

La façon la plus simple d’acheter, échanger et gérer vos cryptos

Rejoignez les premiers utilisateurs et bénéficiez d’un accès prioritaire. Sans seed phrase, frais 3.5x plus bas, rendement DeFi intégré.

Rejoindre la waitlist →