Journaliste de Forbes : Bien que je sache que les hackers nord-coréens sont omniprésents, j'ai quand même été victime.

Rédaction : Ben Weiss, Fortune Magazine

Traduction : Luffy, Foresight News

Fin mars, j’ai reçu un message inquiétant de la part de l’administrateur informatique de Fortune. « Un processus est en train d’exploiter une faille du système », écrivait-il. « Quelqu’un est peut-être déjà entré dans mon ordinateur. Je dois l’arrêter. » J’ai paniqué sur-le-champ.

Les journaux consultés a posteriori par le service IT montrent qu’un fichier que j’ai téléchargé ce matin-là à 11 h 04 avait la capacité d’enregistrer les frappes au clavier, de capturer l’écran, de voler des mots de passe et d’accéder à toutes mes applications.

J’ai immédiatement fermé mon ordinateur portable, j’ai traversé l’appartement à Brooklyn et je me suis précipité vers la station de métro la plus proche. En attendant le métro pour aller au bureau, j’ai envoyé un message à mon éditeur : « Je pense que je me suis fait pêcher par des hackers nord-coréens. Incroyable. »

Je couvrais depuis longtemps l’actualité nord-coréenne et je savais que ce pays ciblait spécifiquement les investisseurs américains. Mais je n’aurais jamais imaginé que ces hackers tristement célèbres allaient m’avoir en ligne de mire, et que je vivrais en personne à quel point leurs méthodes d’escroquerie pouvaient être sophistiquées.

On dirait une arnaque

Le « Royaume des Solitaires » perturbe l’industrie de la cryptographie depuis des années. En raison des sanctions, la Corée du Nord est exclue du système financier mondial ; le pays a donc besoin de recourir à des vols de cryptomonnaies soutenus par l’État pour maintenir son fonctionnement.

Selon des données de la société d’analyse de données crypto Chainalysis, rien qu’en 2025, des hackers liés à la Corée du Nord ont volé des cryptomonnaies d’une valeur de 2 milliards de dollars, soit environ 50 % de plus que l’année précédente.

La Corée du Nord a mis au point une série de techniques de séduction qui ont fait leurs preuves : convaincre des entreprises de les embaucher comme employés IT, et cette fois, utiliser les mêmes méthodes pour me piéger.

Les hackers nord-coréens avaient préparé le piège dès la mi-mars. L’appât était un message Telegram provenant d’un investisseur d’un fonds spéculatif ; l’application est aussi l’outil de communication le plus couramment utilisé dans l’industrie crypto. Je ne peux pas divulguer son nom : il était un informateur anonyme dans mes articles.

Il m’a demandé si je voulais faire connaissance avec quelqu’un appelé Adam Swick, qui avait été le directeur de la stratégie (chief strategic officer) de la société minière Bitcoin MARA Holdings. J’ai répondu que oui : il est toujours très aimable et fiable. Ensuite, j’ai été ajouté à un groupe de discussion.

Il a expliqué que Swick préparait la création d’un nouveau « coffre-fort » pour actifs numériques (« digital asset treasury »), « avec déjà un potentiel gros investisseur de démarrage ». Le projet paraissait plus que douteux, mais j’ai quand même décidé d’écouter ce qu’il avait à dire.

Il m’a proposé un appel via Telegram. Une semaine plus tard, l’informateur m’a envoyé un lien qui ressemblait à celui d’une réunion Zoom. Je l’ai ouvert.

L’interface du programme ressemblait beaucoup à celle de Zoom que j’utilise tous les jours, mais certains détails de conception n’étaient pas tout à fait corrects, et l’audio était entièrement muet. Le système m’a indiqué que je devais mettre à jour le logiciel pour résoudre le problème audio ; au même moment, Swick m’a envoyé un message : « On dirait que votre Zoom ne marche pas de votre côté. » J’ai cliqué pour télécharger le paquet de mise à jour.

Quand j’ai réalisé que le lien dans mon navigateur ne correspondait pas à celui que Telegram avait envoyé, j’ai senti immédiatement le danger. J’ai proposé de déplacer la réunion vers Google Meet. « Ça me fait penser à une arnaque, » ai-je dit dans le groupe à Swick et à l’informateur.

Swick insistait encore : « Ne t’inquiète pas, je viens juste d’essayer sur mon ordinateur, et tout marche. »

Je n’ai pas exécuté le script sur mon Mac : j’ai quitté la réunion Zoom sans hésiter. « Si vous voulez discuter, utilisez Google Meet, » ai-je répondu sur Telegram. Mon informateur m’a immédiatement expulsé du groupe.

Intrusion en chaîne de type ver

Sur le chemin pour quitter l’appartement et rejoindre le service IT, j’ai envoyé un message à la chercheuse sécurité chevronnée Taylor Monahan. Elle est membre de l’organisation SEAL 911, un groupe de bénévoles qui aide les victimes de vols de cryptomonnaies. Je lui ai transmis le script téléchargé et le lien de la visioconférence.

« Ce sont des hackers nord-coréens, » a-t-elle répondu quelques secondes plus tard.

Si j’avais exécuté le script à ce moment-là, les hackers m’auraient volé mon mot de passe, mon compte Telegram et toutes les cryptomonnaies que je détenais. Heureusement, je ne détenais que peu de bitcoins et quelques autres actifs crypto.

Il est difficile de déterminer à 100 % qui est derrière, compte tenu des caractéristiques de l’attaque. Mais dans l’incident où j’ai failli me faire avoir, Monahan m’a dit que les indices—les liens, le script, et même le compte usurpé de Swick—pointaient tous vers la Corée du Nord. Les enquêteurs mettront en relation l’événement et la Corée du Nord en croisant plusieurs preuves, notamment une analyse de la blockchain. Deux autres chercheurs sécurité qui suivent depuis longtemps les hackers nord-coréens ont également confirmé ce jugement après que j’ai partagé avec eux le script et les liens.

« Dis-lui bonjour de ma part, haha, » a dit Monahan, en parlant du hacker nord-coréen qui m’avait ciblé.

Monahan et d’autres chercheurs sécurité ont déjà traité des centaines de cas d’hameçonnage par fausses visioconférences dans l’industrie crypto. Ce schéma est standardisé, mais il est extrêmement efficace.

Les hackers prennent d’abord le contrôle d’un compte Telegram appartenant à un utilisateur réel, puis contactent les personnes présentes dans le carnet d’adresses de cet utilisateur. Les victimes sont invitées à rejoindre une visioconférence, mais pendant l’appel, l’audio ne fonctionne toujours pas correctement. Ensuite, la victime est amenée à exécuter un programme de mise à jour « qui répare l’audio ». Une fois le script exécuté, les hackers peuvent obtenir les actifs crypto, les mots de passe et le compte Telegram de la victime.

En fait, dans un rapport publié mercredi, Google affirme qu’un groupe de hackers nord-coréens visant mon cas prépare également une attaque contre de nombreux développeurs de logiciels.

Je ne suis pas un magnat du bitcoin roulant en Lamborghini, mais d’après Monahan, les hackers nord-coréens ne ciblent pas seulement les personnes riches. Elle a découvert que de plus en plus de journalistes de l’industrie crypto deviennent des cibles, probablement parce que dans Telegram, les journalistes ont beaucoup de contacts. Parmi ces contacts, il y a très certainement de nombreux riches détenteurs de cryptomonnaies.

Comme un virus qui détourne des cellules saines, les hackers prennent le contrôle de ces comptes, puis attaquent les contacts qui se trouvent dans le carnet d’adresses. C’est exactement comme ça que j’ai failli me faire avoir. Je pensais discuter avec des gens que je connaissais, donc je me suis relâché sur ma vigilance.

« Moi, l’usurpateur »

Après avoir totalement formaté mon ordinateur, modifié tous mes mots de passe et remercié à nouveau et encore l’administrateur IT, j’ai finalement appelé l’informateur. Comme prévu, son compte Telegram avait déjà été piraté au début du mois de mars.

« Dans mon Telegram, j’ai beaucoup de contacts, et ils ne sont enregistrés ni sur mon téléphone ni sur mon ordinateur, » a-t-il dit. « Mais ce qui me rend encore plus mal, c’est qu’il y a quelqu’un qui se fait passer pour moi, qui utilise mon identité pour arnaquer des gens. Cette sensation d’avoir été violé… c’est horrible. »

Et même si, pendant trois semaines, il a contacté plusieurs fois Telegram pour demander de l’aide, il n’a jamais eu de réponse. Dans une déclaration, un porte-parole de Telegram m’a dit : « Bien que Telegram fasse tout son possible pour protéger les comptes, aucune plateforme ne peut empêcher les utilisateurs d’être trompés. » Il a ajouté que, après que je les ai contactés, la plateforme avait gelé le compte de cet investisseur de fonds spéculatif.

J’ai aussi contacté le vrai Adam Swick. Depuis le début du mois de février, quelqu’un l’usurpait sur Telegram. Cet ancien dirigeant de MARA a reçu d’innombrables SMS et appels, qui le questionnaient sur la raison de son invitation à une réunion. À chaque fois, il n’avait d’autre choix que de s’excuser.

« Mais certaines personnes me demandent en plus : “Frère, pourquoi tu t’excuses ?” » a déclaré Swick. « Je n’ai alors qu’à dire : “Je ne sais pas, je m’excuse au nom du faux moi… vraiment désolé que ça arrive.” »

Swick ne savait pas pourquoi les hackers le faisaient passer pour lui, et mon informateur ne savait pas non plus comment son Telegram avait été piraté. Mais vers la fin de l’appel, nous avons trouvé soudain une piste possible.

Avant que le Telegram de cet investisseur soit volé, il y avait, parmi la dernière personne contactée, un faux Swick. « J’ai fait un Zoom avec lui, et de son côté, l’audio n’arrivait pas à se connecter, » a déclaré mon informateur. « Je me rappelle vaguement que j’avais téléchargé quelque chose à ce moment-là. »

Autrement dit, mon informateur a très probablement été ciblé par le même groupe de hackers. Après que nous nous soyons rendu compte que son ordinateur avait peut-être lui aussi été infecté, cet investisseur de fonds spéculatif a immédiatement raccroché, puis formaté son ordinateur.

J’ai envoyé un message sur Telegram au faux Adam Swick : « Ce compte est-il contrôlé par des hackers nord-coréens ? »

À ce jour, je n’ai reçu aucune réponse.