La Corée du Nord infiltre des startups crypto : quand le recrutement devient une menace

Enquête Decrypt sur la Corée du Nord. Un développeur semblait idéal : européen, expérimenté, anglophone. Mais dès le deuxième entretien chez la startup britannique Cheqd, son accent a changé, sa connexion s’est figée et son écran s’est mis à afficher du coréen. Ce scénario illustre l’une des cinq tentatives d’infiltration nord‑coréennes dénoncées par Fraser Edwards, PDG de Cheqd, comme le révèle une récente enquête menée par Decrypt.

Une candidature trop parfaite… pour être honnête

Tout commence de manière classique : un candidat techniquement solide, avec un profil européen, retenu après le premier entretien. Puis survient le décrochage : accent asiatique, caméra éteinte, lag permanent… et des onglets en coréen détectés lors d’un test de programmation en direct. Ce décalage a permis à Cheqd de détecter l’infiltration.

Fraser Edwards confirme avoir observé environ cinq cas similaires en un an, révélant une tactique organisée : la Corée du Nord externalise les entretiens en Europe pour masquer son identité, avant de réintroduire ses véritables agents.

2,2 milliards de dollars volés : la Corée du Nord à la pointe cyber

Ce mode opératoire s’inscrit dans une stratégie plus large : selon Chainalysis, les hackers nord‑coréens sont responsables de 1,34 milliard de dollars volés en cryptomonnaies en 2024, soit 61 % des 2,2 milliards détournés cette année-là.

Ces acteurs étatiques utilisent des tactiques complexes : fausses identités, prestataires tiers, annonces d’emploi frauduleuses, pour s’implanter dans les entreprises crypto et Web3, ce qui leur permet d’extraire des gains ou d’établir des portes dérobées.

Cheqd ne fait pas exception et des tentatives similaires ont visé Kraken, où un recrutement frauduleux a été déjoué à temps.

Recruteurs et entreprises : les nouvelles défenses indispensables contre la Corée du Nord

Face à cette menace, Cheqd a revu sa stratégie de recrutement :

• tests de programmation en live pour éviter le recours à l’IA ou à des prestataires externes ;
• entretiens autour de la culture locale du candidat (ville, actualité, centre d’intérêt) pour le sortir du script ;
• appui renforcé sur les recommandations et réseaux existants, jugés plus fiables que les candidats non référencés.

Owen Healy, recruteur spécialisé Web3, confirme aussi que cette forme d’infiltration est nouvelle : l’emploi d’un faux profil européen pour masquer une vraie identité nord‑coréenne devient courant. Et avec l’essor d’outils comme Cluely, aidant à tricher aux entretiens, les défis se multiplient.

Cryptos et géopolitique : un duo explosif

Ce phénomène révèle une hybridation redoutable : l’alliance de l’attaque humaine — infiltration via recrutement — avec les cyberattaques directes (1,34 milliard volé). Le recrutement devient un vecteur d’accès stratégique aux infrastructures sensibles, à la propriété intellectuelle et aux comptes de crypto–actifs.

L’enquête Decrypt illustre un fait nouveau : la première porte d’entrée dans une entreprise crypto n’est plus uniquement une faille de code, elle est humaine.

Les entreprises du Web3 doivent désormais intégrer la cybersécurité dès le processus de recrutement :

• valider les compétences en direct,
• vérifier les références réelles,
• qualifier la confiance via les réseaux existants.

Les clés techniques se protègent numériquement, mais la première intrusion se prépare en amont, au moment du premier échange.