Note de l'éditeur : Les hackers nord-coréens ont toujours représenté une grande menace pour le marché des cryptomonnaies. Par le passé, les victimes et les professionnels de la sécurité du secteur ne pouvaient que déduire les comportements des hackers nord-coréens à travers l'analyse rétrospective des événements de sécurité pertinents. Cependant, hier, le célèbre détective blockchain ZachXBT a cité dans son dernier tweet une enquête d'un hacker éthique qui a réussi à retourner l'attaque des hackers nord-coréens, révélant pour la première fois de manière proactive les méthodes de « travail » des hackers nord-coréens, ce qui pourrait avoir une certaine signification positive pour la mise en place de mesures de sécurité préventives dans les projets de l'industrie.
Voici le texte intégral de ZachXBT, traduit par Odaily Planet Daily.
Un hacker anonyme dont l'identité n'a pas été révélée a récemment infiltré l'appareil d'un travailleur informatique nord-coréen, exposant ainsi les coulisses d'une équipe technique de cinq personnes manipulant plus de 30 identités falsifiées pour mener leurs activités. Cette équipe possède non seulement de faux documents d'identité émis par le gouvernement, mais elle infiltre également divers projets de développement en achetant des comptes Upwork/LinkedIn.
Les enquêteurs ont obtenu les données de son Google Drive, le profil de configuration de Chrome et des captures d'écran de l'appareil. Les données montrent que l'équipe dépend fortement des outils de la série Google pour coordonner les horaires de travail, la répartition des tâches et la gestion des budgets, toutes les communications étant effectuées en anglais.
Un rapport hebdomadaire de l'année 2025 a révélé le mode de fonctionnement de cette équipe de hackers ainsi que les difficultés rencontrées durant cette période, par exemple, des membres se plaignaient de "ne pas comprendre les exigences du travail, ne pas savoir quoi faire", tandis que la colonne des solutions correspondantes indiquait "s'investir sérieusement, redoubler d'efforts"...
Les détails des dépenses montrent que leurs éléments de dépense incluent l'achat de numéros de sécurité sociale (SSN), des transactions de comptes Upwork et LinkedIn, la location de numéros de téléphone, des abonnements à des services d'IA, la location d'ordinateurs et l'achat de services VPN / proxy, etc.
Un des tableaux électroniques détaille l'emploi du temps et le script de discours pour la participation à la réunion sous une fausse identité « Henry Zhang ». Le processus opérationnel montre que ces travailleurs informatiques nord-coréens achètent d'abord des comptes Upwork et LinkedIn, louent des équipements informatiques, puis complètent le travail de sous-traitance via l'outil de contrôle à distance AnyDesk.
L'une des adresses de portefeuille qu'ils utilisent pour envoyer et recevoir des fonds est :
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Cette adresse est étroitement liée à l'attaque du protocole Favrr de 680 000 dollars survenue en juin 2025, confirmée par la suite que son CTO et d'autres développeurs étaient tous des travailleurs informatiques nord-coréens munis de faux documents. D'autres membres du personnel informatique nord-coréen impliqués dans des projets d'infiltration ont également été identifiés par le biais de cette adresse.
Des preuves clés ont également été découvertes dans les historiques de recherche et de navigation de l'équipe.
Il se peut que certaines personnes se demandent « comment confirmer qu'ils viennent de Corée du Nord » ? En plus de tous les documents frauduleux décrits ci-dessus, leur historique de recherche montre qu'ils utilisent fréquemment Google Traduction et qu'ils utilisent une adresse IP russe pour traduire en coréen.
Pour l'instant, les principaux défis auxquels les entreprises sont confrontées pour prévenir les travailleurs informatiques nord-coréens se concentrent sur les aspects suivants :
Manque de collaboration systémique : il y a un manque de mécanismes efficaces de partage d'informations et de coopération entre les prestataires de services de la plateforme et les entreprises privées ;
L'employeur ne fait pas attention : l'équipe de recrutement adopte souvent une attitude défensive après avoir reçu un avertissement de risque, voire refuse de coopérer à l'enquête ;
Avantage de quantité : Bien que ses moyens techniques ne soient pas complexes, il continue de s'infiltrer dans le marché mondial de l'emploi grâce à une vaste base de demandeurs d'emploi.
Canaux de conversion de fonds : Les plateformes de paiement comme Payoneer sont fréquemment utilisées pour échanger les revenus en monnaie fiduciaire issus du travail de développement contre des cryptomonnaies ;
J'ai déjà présenté plusieurs fois les indicateurs à surveiller. Ceux qui sont intéressés peuvent consulter mes tweets précédents, je ne vais pas le répéter ici.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
ZachXBT : Après avoir inversé le dispositif des hackers nord-coréens, j'ai compris leur mode de "travail".
Auteur : ZachXBT
Compilation : Azuma, Planet Daily
Note de l'éditeur : Les hackers nord-coréens ont toujours représenté une grande menace pour le marché des cryptomonnaies. Par le passé, les victimes et les professionnels de la sécurité du secteur ne pouvaient que déduire les comportements des hackers nord-coréens à travers l'analyse rétrospective des événements de sécurité pertinents. Cependant, hier, le célèbre détective blockchain ZachXBT a cité dans son dernier tweet une enquête d'un hacker éthique qui a réussi à retourner l'attaque des hackers nord-coréens, révélant pour la première fois de manière proactive les méthodes de « travail » des hackers nord-coréens, ce qui pourrait avoir une certaine signification positive pour la mise en place de mesures de sécurité préventives dans les projets de l'industrie.
Voici le texte intégral de ZachXBT, traduit par Odaily Planet Daily.
Un hacker anonyme dont l'identité n'a pas été révélée a récemment infiltré l'appareil d'un travailleur informatique nord-coréen, exposant ainsi les coulisses d'une équipe technique de cinq personnes manipulant plus de 30 identités falsifiées pour mener leurs activités. Cette équipe possède non seulement de faux documents d'identité émis par le gouvernement, mais elle infiltre également divers projets de développement en achetant des comptes Upwork/LinkedIn.
Les enquêteurs ont obtenu les données de son Google Drive, le profil de configuration de Chrome et des captures d'écran de l'appareil. Les données montrent que l'équipe dépend fortement des outils de la série Google pour coordonner les horaires de travail, la répartition des tâches et la gestion des budgets, toutes les communications étant effectuées en anglais.
Un rapport hebdomadaire de l'année 2025 a révélé le mode de fonctionnement de cette équipe de hackers ainsi que les difficultés rencontrées durant cette période, par exemple, des membres se plaignaient de "ne pas comprendre les exigences du travail, ne pas savoir quoi faire", tandis que la colonne des solutions correspondantes indiquait "s'investir sérieusement, redoubler d'efforts"...
Les détails des dépenses montrent que leurs éléments de dépense incluent l'achat de numéros de sécurité sociale (SSN), des transactions de comptes Upwork et LinkedIn, la location de numéros de téléphone, des abonnements à des services d'IA, la location d'ordinateurs et l'achat de services VPN / proxy, etc.
Un des tableaux électroniques détaille l'emploi du temps et le script de discours pour la participation à la réunion sous une fausse identité « Henry Zhang ». Le processus opérationnel montre que ces travailleurs informatiques nord-coréens achètent d'abord des comptes Upwork et LinkedIn, louent des équipements informatiques, puis complètent le travail de sous-traitance via l'outil de contrôle à distance AnyDesk.
L'une des adresses de portefeuille qu'ils utilisent pour envoyer et recevoir des fonds est :
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Cette adresse est étroitement liée à l'attaque du protocole Favrr de 680 000 dollars survenue en juin 2025, confirmée par la suite que son CTO et d'autres développeurs étaient tous des travailleurs informatiques nord-coréens munis de faux documents. D'autres membres du personnel informatique nord-coréen impliqués dans des projets d'infiltration ont également été identifiés par le biais de cette adresse.
Des preuves clés ont également été découvertes dans les historiques de recherche et de navigation de l'équipe.
Il se peut que certaines personnes se demandent « comment confirmer qu'ils viennent de Corée du Nord » ? En plus de tous les documents frauduleux décrits ci-dessus, leur historique de recherche montre qu'ils utilisent fréquemment Google Traduction et qu'ils utilisent une adresse IP russe pour traduire en coréen.
Pour l'instant, les principaux défis auxquels les entreprises sont confrontées pour prévenir les travailleurs informatiques nord-coréens se concentrent sur les aspects suivants :
J'ai déjà présenté plusieurs fois les indicateurs à surveiller. Ceux qui sont intéressés peuvent consulter mes tweets précédents, je ne vais pas le répéter ici.