La Corée du Nord a été à l’origine de 47 % des intrusions informatiques d’origine étatique visant le secteur technologique américain entre avril 2025 et mai 2026, selon le rapport annuel sur les menaces publié le 10 juin par l’entreprise de cybersécurité CrowdStrike.
Le groupe de pirates informatiques, désigné par CrowdStrike sous le nom de « Famous Chollima », opère depuis au moins 2018. Il se spécialise dans l’infiltration d’entreprises technologiques par le biais de fausses candidatures à des postes en télétravail, selon le rapport et le profil d’adversaire officiel publié par CrowdStrike.
Deepfakes et identités volées
Les hackers nord-coréens se font passer pour des développeurs, des codeurs ou des recruteurs et postulent à des emplois à distance dans des entreprises américaines, européennes et asiatiques sous de fausses identités. Pour réussir les entretiens vidéo, ils utilisent des images deepfake générées par intelligence artificielle en temps réel, couplées à des documents d’identité frauduleux, selon les conclusions du rapport.
Une fois à l’intérieur des entreprises, les opérateurs perçoivent un salaire légitime qui est ensuite reversé au régime nord-coréen, tout en dérobant de la propriété intellectuelle et des données sensibles. Ces informations volées sont souvent utilisées comme levier : lorsque les agents sont découverts, ils menacent de divulguer les données compromises à moins que l’entreprise ne verse une rançon.
Un financement direct du programme nucléaire
La Corée du Nord, lourdement sanctionnée par l’ONU et les pays occidentaux en raison de son programme d’armement nucléaire, utilise ces opérations de cybercriminalité pour contourner les restrictions financières internationales. Les hackers ciblent également les développeurs de blockchain afin de dérober des crypto-monnaies. En 2025, ces groupes ont amassé plus de 2 milliards de dollars en actifs numériques, d’après les données de Chainalysis relayées par plusieurs publications spécialisées.
« Famous Chollima a représenté 47 % de l’ensemble de l’activité étatique ciblant le secteur technologique », indique le rapport. Les attaques, classées comme des intrusions « hands-on-keyboard », sont menées par des opérateurs humains qui utilisent des identifiants volés puis exploitent les outils internes légitimes des systèmes ciblés pour maintenir un accès persistant, rendant leur détection plus difficile que celle de logiciels malveillants automatisés.
Le rapport de CrowdStrike souligne que cette menace ne se limite pas au territoire américain. Des entreprises en Europe et en Asie sont également ciblées par ces méthodes d’infiltration. Les recommandations incluent un renforcement des vérifications d’identité lors des recrutements à distance et une surveillance accrue des accès internes pour détecter les comportements anormaux.
