Fin mars, j’ai reçu un message inquiétant du responsable informatique de Fortune. “Il existe un processus qui expose une vulnérabilité”, a-t-il écrit, me disant que quelqu’un pourrait se cacher autour de mon ordinateur. “Je dois le tuer.” J’ai paniqué. Un fichier que j’ai téléchargé à 11 h 04 avait la capacité de surveiller mes frappes au clavier, d’enregistrer l’écran de mon ordinateur, d’afficher mes mots de passe et d’accéder à mes applications, selon les journaux examinés ultérieurement par le service informatique de Fortune.
Après avoir éteint mon ordinateur portable, j’ai quitté mon appartement de Brooklyn en courant et j’ai couru jusqu’à la station de métro la plus proche. En attendant le train pour le bureau de Fortune, où j’avais prévu de nettoyer l’ordinateur portable avec l’aide du service informatique, j’ai envoyé un texto à mon éditeur : “Je pense que j’ai peut-être été victime d’une arnaque de la RPDC.”
Il avait fait un reportage sur la République populaire démocratique de Corée et savait que ce pays aimait cibler les investisseurs américains. Mais je n’aurais jamais pensé que leurs fameux hackers s’en prendraient à moi et me donneraient une leçon directe sur la profondeur de leurs tromperies.
« Ambiance d’arnaque »
Le Royaume Ermite tourmente l’industrie de la cryptographie depuis des années. Coupé du système financier mondial par les sanctions, le pays s’est tourné vers le vol de cryptomonnaie parrainé par l’État pour l’aider à payer ses factures. Rien qu’en 2025, des pirates informatiques liés à l’armée nord-coréenne ont amassé 2 milliards de dollars de cryptomonnaies volées, soit environ 50 % de plus que l’année précédente, selon les données de la société d’analyse de cryptomonnaies Chainalysis.
La République populaire démocratique de Corée a mis au point des stratégies éprouvées pour tromper ses victimes. Il s’agit notamment de persuader les entreprises de les embaucher comme informaticiens et des techniques utilisées pour me tromper.
Les Nord-Coréens ont tendu leur piège à la mi-mars. L’appât s’est présenté sous la forme d’un message d’un investisseur de hedge funds envoyé via Telegram, l’application de messagerie préférée de l’industrie de la cryptographie. L’investisseur, que je ne nomme pas car il était une source anonyme pour les histoires que j’avais écrites, m’a demandé si je souhaitais rencontrer quelqu’un du nom d’Adam Swick, qui avait été le directeur de la stratégie du mineur de Bitcoin MARA Holdings.
J’ai répondu « Bien sûr » (ma source était historiquement amicale et serviable) et ils m’ont mis dans une discussion de groupe. Ma source a déclaré que Swick envisageait de créer une nouvelle trésorerie d’actifs numériques et “avait un investisseur initial potentiel important”.
L’entreprise semblait douteuse. Pourtant, il était prêt à au moins écouter ce que Swick avait à dire. Sur Telegram, il m’a demandé de planifier un appel avec lui, et une semaine plus tard, ma source de hedge funds m’a envoyé ce qui semblait être un lien Zoom. J’ai cliqué dessus.
Le programme lancé ressemblait au Zoom que j’utilise quotidiennement, même si quelque chose dans le design semblait un peu étrange et que l’audio ne fonctionnait pas. On m’a demandé de mettre à jour le logiciel pour résoudre le problème de son, et en même temps, Swick m’a écrit : “On dirait que Zoom agit en votre nom.” J’ai cliqué pour télécharger la mise à jour.
Mon adrénaline est montée en flèche lorsque j’ai vu que le lien dans mon navigateur n’était pas le même que celui qui m’avait été envoyé sur Telegram et j’ai demandé à déplacer la réunion vers Google Meet, un autre service de visioconférence. “Cela me donne l’impression d’être une arnaque”, ai-je écrit à Swick et à ma source, l’investisseur du hedge fund.
Swick a insisté : “Ne vous inquiétez pas. Je l’ai essayé sur mon PC.”
Je n’ai pas essayé d’exécuter le script sur mon MacBook et j’ai décidé de fuir la réunion Zoom. “Si vous voulez me parler, faisons-le via Google Meet”, ai-je écrit via Telegram. Ma source m’a rapidement expulsé du chat de groupe.
astuces virales
Alors que je sortais précipitamment de mon appartement pour visiter le service informatique, j’ai envoyé un message à Taylor Monahan, un chercheur chevronné en sécurité. Il est membre du SEAL 911, un groupe de bénévoles qui viennent en aide aux victimes d’attaques cryptographiques. Je lui ai envoyé le script que j’avais téléchargé et le lien de visioconférence que j’avais reçu.
«C’est la Corée du Nord», répondit-il quelques instants plus tard.
Si j’avais exécuté le script, les pirates auraient volé mes mots de passe, mon compte Telegram et toutes les cryptomonnaies que j’avais. (Heureusement, je possède des quantités négligeables de Bitcoin et de quelques autres crypto-monnaies.)
La nature des hacks signifie qu’il est rare d’être sûr à 100 % de qui est derrière eux, mais dans le cas de mon quasi-accident, Monahan m’a dit que le lien, le script et même le faux compte associé à Adam Swick pointaient tous vers la Corée du Nord. Les enquêteurs utilisent une combinaison de preuves, notamment l’analyse de la blockchain, pour relier les incidents à la RPDC. Deux autres chercheurs en sécurité qui traquaient les pirates informatiques nord-coréens ont confirmé son évaluation lorsque je leur ai envoyé le script et le lien vers la vidéoconférence.
“Dites-lui que Tay dit bonjour mdr”, a déclaré Monahan, faisant référence au Nord-Coréen qui m’a poursuivi.
Monahan et d’autres chercheurs en sécurité ont répondu à des centaines de cas dans l’industrie de la cryptographie impliquant de faux appels vidéo. Le schéma est formel mais efficace.
Les pirates prennent le contrôle du compte Telegram d’une personne réelle et contactent ensuite ses contacts. Ces contacts sont invités à se connecter à un appel vidéo, où, invariablement, l’audio ne fonctionne pas. Les victimes sont invitées à exécuter une mise à jour pour résoudre le problème de son. Lorsqu’ils exécutent le script, les pirates ont accès aux crypto-monnaies, aux mots de passe et au compte Telegram des victimes. En fait, le même groupe de Nord-Coréens qui m’a attaqué était à l’origine d’un piratage destiné à exploiter les développeurs de logiciels en général, a déclaré Google dans un rapport publié mercredi.
Je ne suis pas un investisseur Bitcoin motivé par Lamborghini, mais la Corée du Nord ne cible pas seulement les riches, m’a dit Monahan. Des pirates informatiques s’en sont pris à un nombre croissant de journalistes cryptographiques, probablement parce que leurs comptes Telegram disposent d’un Rolodex important. Il est très probable que certains de ces contacts génèrent de la richesse cryptographique.
Tel un virus qui détourne les cellules saines, les pirates corrompent ces comptes nouvellement compromis et attaquent les contacts des utilisateurs. C’est comme ça que j’étais sur le point d’être infecté. Je me sentais engourdi parce que je pensais parler à quelqu’un que je connaissais.
“Faire semblant”
Après avoir nettoyé mon ordinateur portable, changé mes mots de passe et remercié abondamment l’administrateur informatique de Fortune, j’ai finalement appelé ma source sur son téléphone portable. Sans surprise, son compte Telegram a été piraté début mars. “J’avais beaucoup de contacts sur Telegram que je n’avais pas stockés sur mon téléphone ou mon ordinateur”, a-t-il déclaré. “Mais pour moi, plus encore, vous vous sentez violé en sachant que quelqu’un se fait passer pour vous, utilisant essentiellement votre nom pour arnaquer les gens.”
Bien qu’il ait contacté Telegram à plusieurs reprises pour obtenir de l’aide pendant trois semaines, il n’a reçu aucune réponse. (“Bien que Telegram fasse tout ce qu’il peut pour protéger ses comptes, aucune plateforme ne peut protéger les utilisateurs qui sont amenés à fournir leurs informations de connexion à de mauvais acteurs”, m’a dit un porte-parole dans un communiqué, ajoutant que l’application avait gelé le compte de l’investisseur du hedge fund après que je l’ai contacté.)
J’ai aussi appelé le vrai Swick. Des pirates se faisaient passer pour lui via Telegram depuis début février, et l’ancien cadre de MARA Holdings avait reçu des dizaines de SMS et d’appels lui demandant pourquoi il souhaitait organiser des réunions. Il s’est toujours excusé. “Mais certains d’entre eux m’ont dit : ‘Mec, pourquoi tu t’excuses ?'”, a déclaré Swick. “Et je me suis dit : ‘Je ne sais pas. Je suppose que je m’excuse d’avoir fait semblant. Je suis vraiment désolé que ce soit arrivé.'”
Swick ne savait pas pourquoi les pirates se faisaient passer pour lui et ma source, l’investisseur du hedge fund, ne savait pas comment son compte Telegram avait été compromis. Mais à la fin de notre appel téléphonique, l’investisseur et moi sommes tombés sur une réponse possible.
Un faux Swick était l’une des dernières personnes à qui l’investisseur a parlé avant que son compte Telegram ne soit piraté. “Je suis allé sur Zoom avec lui et son audio n’était pas connecté”, a déclaré ma source. “Je me souviens vaguement d’avoir essayé de télécharger quelque chose.”
En d’autres termes, ma source a probablement été attaquée par les mêmes hackers qui s’en sont pris à moi. Après que lui et moi avons réalisé que son ordinateur portable était potentiellement endommagé, l’investisseur du hedge fund a raccroché et a effacé son ordinateur.
J’ai contacté le faux Adam Swick sur Telegram. « Ce compte est-il contrôlé par une personne affiliée à la RPDC ? J’ai écrit.
Je n’ai toujours pas reçu de réponse.
