Le département de la Justice des États-Unis vise la saisie de 15 millions de dollars en USDT associés à des hackers nord-coréens

Panorama de l’action du DOJ contre le vol de crypto-monnaies par la Corée du Nord

Le Département de la Justice des États-Unis (DOJ) a lancé des poursuites majeures pour saisir plus de 15 millions de dollars en USDT (stablecoin Tether) directement associés à des cyberattaques orchestrées par l’État nord-coréen. Cette mesure s’inscrit dans la stratégie globale du gouvernement américain visant à entraver les capacités croissantes de guerre cybernétique de Pyongyang et sa dépendance au vol de crypto-monnaies pour contourner les sanctions internationales.

Les fonds visés sont liés à APT38 (Advanced Persistent Threat 38), une unité de piratage nord-coréenne opérant sous directive étatique et responsable de nombreuses attaques retentissantes contre des institutions financières mondiales et des plateformes de crypto-monnaies. Ce groupe figure parmi les acteurs les plus actifs de la menace cyber dans l’univers des actifs numériques, utilisant des méthodes avancées pour infiltrer les systèmes de sécurité et blanchir les fonds dérobés via des réseaux complexes d’intermédiaires.

Points clés :

• Le DOJ vise la saisie de plus de 15 millions de dollars en USDT rattachés au groupe de pirates nord-coréen APT38
• Les fonds ont été retracés à quatre piratages majeurs de plateformes de crypto survenus en 2023
• Le FBI a pris le contrôle de ces actifs début 2025 et poursuit à présent leur confiscation définitive
• Cinq individus aux États-Unis ont plaidé coupable d’avoir facilité l’infiltration de travailleurs IT nord-coréens dans des entreprises américaines
• Les manoeuvres ont affecté 136 entreprises américaines et généré plus de 2,2 millions de dollars pour le régime nord-coréen

Le FBI cherche la confiscation définitive de l’USDT saisi lors des piratages crypto de 2023

Les enquêteurs fédéraux ont retracé les actifs numériques jusqu’à des fonds volés sur quatre plateformes de monnaies virtuelles distinctes lors d’attaques coordonnées en 2023. Les capacités d’analyse blockchain du FBI, renforcées par la coopération avec des sociétés privées de cybersécurité, ont permis de suivre les mouvements des fonds volés à travers plusieurs blockchains et au moyen de diverses techniques d’obfuscation employées par les agents nord-coréens.

Le FBI a initialement saisi l’USDT début 2025 via des procédures d’urgence, et sollicite désormais l’accord du tribunal pour leur confiscation définitive. Une fois la procédure achevée, le DOJ prévoit de restituer les fonds récupérés aux victimes légitimes de ces cyberattaques, assurant ainsi une compensation partielle de leurs pertes.

Le DOJ n’a pas révélé l’identité des plateformes piratées afin de préserver l’intégrité des enquêtes, mais le calendrier des vols coïncide avec plusieurs incidents majeurs de 2023 : la brèche de Poloniex de 100 millions de dollars en novembre 2023, le piratage de CoinsPaid pour 37 millions de dollars en juillet, l’attaque du processeur de paiements Alphapo (estimée par le DOJ à environ 100 millions de dollars) et un autre vol significatif d’environ 138 millions de dollars en novembre 2023 sur une plateforme basée au Panama. Cependant, le DOJ n’a pas confirmé les dossiers concernés par ces mesures de confiscation.

Selon le communiqué officiel, les agents nord-coréens ont utilisé des techniques sophistiquées de blanchiment pour masquer l’origine des fonds volés. Ils ont mobilisé un réseau complexe de mixeurs de crypto-monnaies (services qui mélangent les transactions pour en masquer la provenance), de passerelles inter-chaînes (cross-chain bridges) (outils permettant de transférer des actifs entre différents réseaux blockchain), d’exchanges classiques, ainsi que de courtiers OTC facilitant de grandes transactions privées en dehors des carnets d’ordres publics.

« Les efforts visant à retracer, saisir et confisquer la crypto-monnaie virtuelle volée sont en cours, les acteurs d’APT38 poursuivant leurs opérations de blanchiment », a indiqué le DOJ, précisant qu’il s’agit d’une enquête toujours active.

La sophistication de ces opérations de blanchiment illustre l’évolution des capacités des acteurs étatiques malveillants et les défis rencontrés par les forces de l’ordre dans l’écosystème décentralisé des crypto-monnaies. Malgré ces difficultés, les enquêteurs fédéraux développent des méthodes de plus en plus efficaces pour suivre les flux illicites sur les réseaux blockchain.

Poursuites contre les facilitateurs : citoyens américains et réseau de vol d’identité

La répression vise également ceux qui ont facilité l’infiltration nord-coréenne dans les entreprises américaines. Le DOJ a obtenu les aveux de cinq individus ayant joué un rôle clé en permettant à des agents nord-coréens d’accéder aux réseaux d’entreprises américaines via des emplois informatiques à distance frauduleux.

Quatre citoyens américains — Audricus Phagnasay, Jason Salazar, Alexander Paul Travis et Erick Ntekereze Prince — ont reconnu leur participation à un complot de fraude électronique. Ils ont fourni leur identité américaine à des travailleurs IT nord-coréens et permis l’utilisation d’équipements d’entreprise depuis leur domicile, simulant ainsi une présence physique sur le territoire américain. Cette manœuvre a offert aux agents nord-coréens un accès à des réseaux sensibles, des droits de propriété intellectuelle et des systèmes financiers, tout en contournant les dispositifs de sécurité visant à empêcher les intrusions étrangères.

Ce stratagème est devenu une source de revenus centrale pour Pyongyang, générant des flux financiers importants, tout en fournissant du renseignement sur les entreprises américaines et en préparant potentiellement de futures cyberattaques. Les dispositifs de travail à distance, plus répandus depuis la pandémie de COVID-19, ont constitué une opportunité exploitée de façon systématique par les agents nord-coréens.

Le rôle d’un ressortissant ukrainien dans la vente d’identités américaines volées à la Corée du Nord

Dans une affaire connexe illustrant le caractère international de ces réseaux criminels, le ressortissant ukrainien Oleksandr Didenko a plaidé coupable de complot de fraude électronique et de vol aggravé d’identité. Didenko pilotait une opération sophistiquée de vol d’identité, subtilisant des données personnelles de citoyens américains et revendant ces identités à des agents IT nord-coréens.

Son activité criminelle a permis à des travailleurs nord-coréens d’intégrer environ 40 entreprises américaines. En fournissant des identités américaines crédibles avec justificatifs, Didenko a permis à ces agents de franchir les contrôles de sécurité et de vérification normalement destinés à barrer l’accès à des ressortissants étrangers.

Dans le cadre de son accord de plaider-coupable, Didenko a accepté de renoncer à plus de 1,4 million de dollars de profits issus de ses activités illicites, illustrant l’ampleur des gains générés par cette opération de vol d’identité.

L’ampleur de ces stratagèmes est saisissante : au total, 136 entreprises américaines touchées, plus de 2,2 millions de dollars générés pour le gouvernement nord-coréen, et les données personnelles de plus de 18 citoyens américains compromises. Ces chiffres ne reflètent probablement qu’une part de l’impact réel, à mesure que les investigations se poursuivent et que de nouveaux cas émergent.

Les autorités américaines rappellent que chaque travailleur IT nord-coréen peut gagner jusqu’à 300 000 dollars par an via ces emplois frauduleux. Si l’on considère potentiellement des centaines ou des milliers d’opérateurs, le programme canalise collectivement des centaines de millions de dollars vers des initiatives supervisées par le ministère nord-coréen de la Défense, soutenant directement les programmes d’armement du régime en violation des sanctions internationales.

La menace croissante des opérations nord-coréennes de vol de crypto-monnaies

Les opérations de vol de crypto-monnaies de la Corée du Nord ont connu une hausse spectaculaire, les pirates ayant dérobé plus de 2 milliards de dollars d’actifs numériques d’après les données d’Elliptic, cabinet référence en analyse blockchain. Il s’agit de l’une des années les plus prolifiques pour le cybervol nord-coréen, soulignant la sophistication croissante du régime et sa dépendance au crime crypto comme moyen de contourner les sanctions internationales.

L’ampleur de ces opérations fait de la Corée du Nord l’un des principaux risques cyber dans le secteur des crypto-monnaies, avec des répercussions sur la sécurité des plateformes d’actifs numériques et sur la stabilité internationale, puisque les fonds volés financent directement les programmes d’armement sanctionnés du régime et contribuent à atténuer la pression économique censée freiner ses ambitions militaires.

FAQ

Pourquoi le Département de la Justice américain cherche-t-il à saisir des USDT liés à des hackers nord-coréens ?

Le DOJ cherche à saisir l’USDT lié aux hackers nord-coréens pour lutter contre la cybercriminalité et le blanchiment d’argent. Les pirates informatiques soutenus par la Corée du Nord ont mené d’importants vols de crypto-monnaies et des attaques par ransomware. Le gel de ces actifs perturbe leurs circuits de financement, applique les sanctions et empêche la circulation de capitaux illicites.

Comment le stablecoin USDT est-il juridiquement défini et réglementé ?

L’USDT est considéré comme un stablecoin et un actif numérique selon les juridictions. Les régulateurs l’assimilent à un instrument de paiement ou de transfert de fonds. La SEC et la CFTC américaines supervisent sa négociation et son émission. Tether doit se conformer à des exigences réglementaires, dont la vérification des réserves et l’application de protocoles AML pour prévenir les flux illicites.

Comment les groupes de hackers nord-coréens procèdent-ils généralement pour mener leurs cyberattaques et blanchir les fonds ?

Les groupes nord-coréens utilisent le spear-phishing, le déploiement de logiciels malveillants et le vol de crypto-monnaies ciblant exchanges et protocoles DeFi. Ils blanchissent ensuite les fonds via des services de mixage, des transactions P2P et la conversion en stablecoins comme l’USDT pour camoufler la circulation des fonds sur les blockchains.

Comment les plateformes d’échange de crypto-monnaies coopèrent-elles avec les autorités pour geler et tracer des actifs suspects ?

Les exchanges appliquent les protocoles AML/KYC, surveillent les transactions, signalent les activités suspectes aux régulateurs, gèlent les comptes sur décision judiciaire, transmettent les historiques de transactions et utilisent des outils d’analyse blockchain pour identifier et récupérer les actifs illicites liés à des activités criminelles.

Quel impact cette affaire a-t-elle sur la confidentialité et la sécurité des actifs des utilisateurs de crypto-monnaies ?

Cette affaire met en lumière l’importance de la conformité et de la régulation dans l’écosystème crypto. Les autorités peuvent retracer et saisir les fonds illicites, tandis que les actifs des utilisateurs légitimes restent protégés via de bonnes pratiques de conservation. Elle montre que la transparence des plateformes et les procédures KYC protègent les intérêts des utilisateurs en empêchant la criminalité et en réduisant les risques systémiques.

Quel est le fondement légal du gel d’actifs crypto par le gouvernement américain ?

Le gouvernement américain gèle les actifs crypto en vertu de l’International Emergency Economic Powers Act (IEEPA) et du Patriot Act pour lutter contre le blanchiment, le financement du terrorisme et la violation des sanctions. Ces lois permettent la saisie d’actifs en lien avec des menaces à la sécurité nationale ou des activités criminelles.

Comment les détenteurs d’USDT peuvent-ils éviter un gel abusif de leurs avoirs ?

Utilisez des portefeuilles conformes, conservez les historiques de transactions, évitez les adresses à risque, activez la sécurité multi-signatures, maintenez à jour votre documentation KYC et privilégiez les portefeuilles personnels non-custodial plutôt que des plateformes suspectes afin de limiter les risques de gel.