L’Office de contrôle des avoirs étrangers (OFAC) du département du Trésor américain a sanctionné six personnes et deux entités pour leur implication dans le système de travailleurs des technologies de l’information (TI) de la République populaire démocratique de Corée (RPDC) visant à frauder les entreprises américaines et à générer des revenus illicites pour le régime afin de financer ses programmes d’armes de destruction massive (ADM).

« Le régime nord-coréen cible les entreprises américaines par le biais de stratagèmes trompeurs mis en œuvre par ses agents informatiques à l’étranger, qui utilisent des données sensibles comme une arme et extorquent des sommes considérables aux entreprises », a déclaré le secrétaire au Trésor, Scott Bessent.

Ce système frauduleux , également connu sous les noms de Coral Sleet/Jasper Sleet, PurpleDelta et Wagemole, repose sur de faux documents, des identités volées et des profils fictifs pour permettre aux informaticiens de dissimuler leurs véritables origines et d’obtenir des emplois dans des entreprises légitimes aux États-Unis et ailleurs. Une part disproportionnée des salaires est ensuite transférée à la Corée du Nord pour financer son programme de missiles, en violation des sanctions internationales.

Dans certains cas, ces efforts sont complétés par le déploiement de logiciels malveillants pour voler des informations confidentielles et sensibles, ainsi que par des tentatives d’extorsion exigeant des rançons en échange de la non-divulgation publique des données volées.

es personnes et entités visées par la dernière série de sanctions de l’OFAC sont énumérées ci-dessous :

• Amnokgang Technology Development Company est une société informatique qui gère des délégations de travailleurs informatiques à l’étranger et mène d’autres activités d’approvisionnement illicites pour obtenir et vendre des technologies militaires et commerciales par le biais de ses réseaux à l’étranger.
• Nguyen Quang Viet est le PDG de la société vietnamienne Quangvietdnbg International Services Company Limited, qui propose des services de conversion de devises aux Nord-Coréens. L’entreprise aurait converti environ 2,5 millions de dollars en cryptomonnaie entre mi-2023 et mi-2025.
• Do Phi Khanh , un associé de Kim Se Un, a été sanctionné par les États-Unis en juillet 2025. Do est accusé d’avoir agi comme intermédiaire de Kim et de lui avoir permis d’utiliser son identité pour ouvrir des comptes bancaires et blanchir l’argent provenant de travailleurs du secteur informatique.
• Hoang Van Nguyen , qui aide également Kim à ouvrir des comptes bancaires et facilite les transactions en cryptomonnaie pour Kim.
• Yun Song Guk , un ressortissant nord-coréen qui dirigeait un groupe de travailleurs informatiques indépendants depuis Boten, au Laos, depuis au moins 2023. Yun a coordonné plusieurs dizaines de transactions financières s’élevant à plus de 70 000 $ avec Hoang Minh Quang concernant des services informatiques, et a travaillé avec York Louis Celestino Herrera pour développer des contrats de services informatiques indépendants.

Cette information survient alors que LevelBlue a mis en lumière l’utilisation du VPN Astrill par le réseau de travailleurs du secteur informatique pour mener leurs opérations depuis des pays comme la Chine, grâce à la capacité de ce service à contourner le Grand Pare-feu chinois. Le principe consiste à faire transiter le trafic par des serveurs de sortie américains, leur permettant ainsi de se faire passer pour des employés légitimes aux États-Unis.

« Ces acteurs malveillants opèrent généralement depuis la Chine plutôt que depuis la Corée du Nord pour deux raisons : une infrastructure Internet plus fiable et la possibilité d’utiliser des services VPN pour dissimuler leur véritable origine géographique », explique Tue Luu, chercheur en sécurité . « Les sous-groupes de Lazarus Group, dont Contagious Interview , s’appuient sur cette capacité pour accéder librement à Internet, gérer leur infrastructure de commande et de contrôle et masquer leur véritable localisation. »

La société de cybersécurité a également indiqué avoir détecté une tentative d’infiltration infructueuse menée par la Corée du Nord en réponse à une offre d’emploi. L’informaticien, embauché le 15 août 2025 en télétravail pour travailler sur des données Salesforce, a été licencié dix jours plus tard après avoir présenté des indicateurs de connexions répétées depuis la Chine.

Un aspect notable du savoir-faire de Jasper Sleet est l’utilisation de l’intelligence artificielle pour permettre la falsification d’identité, l’ingénierie sociale et la persistance opérationnelle à long terme à faible coût, soulignant comment les services basés sur l’IA peuvent réduire les barrières techniques et augmenter les capacités des acteurs malveillants.

« Jasper Sleet exploite l’IA tout au long du cycle de vie d’une attaque pour se faire recruter, conserver son emploi et abuser des accès à grande échelle », a déclaré Microsoft . « Les acteurs malveillants utilisent l’IA pour accélérer le processus de reconnaissance qui leur permet de créer des profils numériques convaincants, adaptés à des marchés du travail et des rôles spécifiques. »

Un autre élément crucial consiste à utiliser une application d’IA appelée Faceswap pour insérer les visages de travailleurs informatiques nord-coréens dans des documents d’identité volés et générer des photos professionnelles pour les CV. Ce faisant, ces efforts visent non seulement à améliorer la précision de leurs campagnes, mais aussi à accroître leur crédibilité en créant des identités numériques convaincantes.

De plus, il est établi que la menace que représentent les travailleurs informatiques à distance a exploité des outils d’IA agentifs pour créer de faux sites web d’entreprise et pour générer, affiner et réimplémenter rapidement des composants de logiciels malveillants, dans certains cas en jailbreakant de grands modèles de langage (LLM).

« Les acteurs malveillants, tels que les travailleurs informatiques nord-coréens à distance, s’appuient sur un accès fiable et durable », a déclaré Microsoft. « De ce fait, les responsables de la sécurité doivent considérer l’emploi frauduleux et l’utilisation abusive d’accès comme un risque interne, en s’attachant à détecter l’utilisation abusive d’identifiants légitimes, les schémas d’accès anormaux et une activité faible et lente persistante. »

Dans un rapport détaillé publié par Flare et IBM X-Force examinant les tactiques et les techniques employées par les opérateurs informatiques, il est apparu que les acteurs de la menace utilisent des feuilles de temps pour suivre les candidatures et l’avancement des travaux, IP Messenger (alias IPMsg) pour la communication interne décentralisée et Google Translate pour traduire les descriptions de poste, rédiger des candidatures et même interpréter les réponses d’outils comme ChatGPT.

Le programme pour travailleurs informatiques repose sur une structure opérationnelle à plusieurs niveaux impliquant des recruteurs, des facilitateurs, des travailleurs informatiques et des collaborateurs, chacun jouant un rôle distinct.

• Les recruteurs, chargés de sélectionner les candidats potentiels au poste de travailleur informatique et d’enregistrer les entretiens initiaux à transmettre aux facilitateurs.
• Les facilitateurs et les informaticiens, chargés de la création de profils types, de la recherche d’emplois à temps plein ou en freelance, et de l’intégration des nouvelles recrues.
• Des collaborateurs, recrutés pour donner leur identité et/ou leurs informations personnelles afin d’aider les informaticiens à finaliser le processus d’embauche et à recevoir des ordinateurs portables fournis par l’entreprise.

« Grâce à des collaborateurs occidentaux recrutés, principalement via LinkedIn et GitHub, qui, de gré ou de force, fournissent leur identité pour être utilisés dans le cadre de cette escroquerie aux travailleurs informatiques, NKITW est capable de pénétrer plus profondément et de manière plus fiable au sein d’une organisation, et ce, pendant une période plus longue », ont déclaré les entreprises dans un rapport partagé avec The Hacker News.

« Les activités des travailleurs du secteur informatique en Corée du Nord sont répandues et profondément intégrées au sein du parti-État nord-coréen. Elles constituent une composante essentielle du système de génération de revenus et de contournement des sanctions de la RPDC. »