Fin mars, j’ai reçu un message alarmant de l’administrateur informatique de Fortune. « Il existe un processus qui expose des vulnérabilités », a-t-il écrit, me disant que quelqu’un pourrait rôder dans mon ordinateur. « Je dois le tuer. » J’ai paniqué. Les journaux examinés plus tard par le service informatique de Fortune ont montré que le fichier que j’avais téléchargé à 11 h 04 avait la capacité de surveiller mes frappes au clavier, d’enregistrer l’écran de mon ordinateur, de voir mes mots de passe et d’accéder à mes applications.
Après avoir éteint mon ordinateur portable, je me suis précipité hors de mon appartement de Brooklyn et j’ai couru jusqu’à la station de métro la plus proche. En attendant le train pour le bureau de Fortune, où je devais nettoyer mon ordinateur portable avec l’aide du service informatique, j’ai envoyé un texto à mon éditeur : « Je pense que j’ai peut-être été hameçonné par la Corée du Nord mdr. »
Je faisais un reportage sur la République populaire démocratique de Corée et je savais que ce pays aimait cibler les investisseurs américains. Mais je ne m’attendais pas à ce que des hackers notoires s’en prennent à moi et me révèlent directement l’ampleur de leur tromperie.
« Ambiance de fraude »
Le Royaume de l’Ermite tourmente l’industrie de la cryptographie depuis des années. Le pays, coupé du système financier mondial par les sanctions, compte sur le vol de cryptomonnaie parrainé par l’État pour l’aider à payer ses factures. Rien qu’en 2025, des pirates informatiques liés à l’armée nord-coréenne ont amassé 2 milliards de dollars de crypto-monnaies volées, soit une augmentation d’environ 50 % par rapport à l’année précédente, selon les données de la société d’analyse de crypto-monnaie Chainalysis.
La République populaire démocratique de Corée a élaboré une stratégie éprouvée pour tromper les victimes. Il s’agit notamment de convaincre les entreprises de m’embaucher comme informaticien et des techniques utilisées pour me tromper.
La Corée du Nord a tendu un piège à la mi-mars. L’appât s’est présenté sous la forme d’un message d’un investisseur de hedge funds envoyé via Telegram, l’application de messagerie de choix de l’industrie des cryptomonnaies. L’investisseur m’a demandé si je souhaitais rencontrer quelqu’un nommé Adam Swick, que je ne nommerai pas car il est la source anonyme d’un article que j’ai écrit, qui était le directeur de la stratégie de la société minière Bitcoin MARA Holdings.
J’ai dit: « Bien sûr. » Mes sources ont toujours été amicales et serviables. Ensuite, j’ai été mis dans une discussion de groupe. Mes sources indiquent que Swick envisage de créer une nouvelle trésorerie d’actifs numériques et qu’il compte « de grands investisseurs potentiels ».
Cette aventure semblait discutable. Pourtant, il était au moins prêt à écouter Swick. Sur Telegram, il m’a demandé de planifier un appel, et une semaine plus tard, une source de hedge funds m’a envoyé quelque chose comme un lien Zoom. J’ai cliqué dessus.
Le programme lancé ressemblait au Zoom que j’utilise quotidiennement, mais il semblait avoir un design légèrement différent et l’audio ne fonctionnait pas. On m’a demandé de mettre à jour mon logiciel pour résoudre le problème de son, mais en même temps, j’ai reçu une lettre de Swick disant : « Il semble que Zoom ait des problèmes de votre côté. » J’ai cliqué pour télécharger la mise à jour.
Lorsque j’ai vu que le lien dans mon navigateur n’était pas le même que celui envoyé sur Telegram, mon adrénaline est montée en flèche et j’ai demandé à déplacer la réunion vers un autre service de visioconférence, Google Meet. « Cela me donne l’impression d’une arnaque », ai-je écrit à Swick et à ma source, un investisseur en hedge funds.
» continua Swick. « Ne vous inquiétez pas, je viens de l’essayer sur mon PC. »
Je n’ai pas essayé d’exécuter le script sur mon MacBook et j’ai décidé de fuir la réunion Zoom. « Si vous voulez me parler, parlons sur Google Meet », ai-je écrit sur Telegram. Ma source m’a immédiatement expulsé du chat de groupe.
piratage de virus
Alors que je sortais précipitamment de mon appartement pour visiter le service informatique, j’ai envoyé un message à Taylor Monahan, un chercheur chevronné en sécurité. Elle est membre de SEAL 911, un groupe de bénévoles qui vient en aide aux victimes de piratage de cryptomonnaie. Je lui ai envoyé le script que j’ai téléchargé et le lien de vidéoconférence que j’ai reçu.
«C’est la Corée du Nord», m’a-t-elle immédiatement envoyé un texto.
Si j’avais exécuté ce script, le pirate informatique aurait volé mon mot de passe, mon compte Telegram et toute crypto-monnaie que je possédais. (Heureusement, je possède très peu de Bitcoin et quelques autres crypto-monnaies.)
En raison de la nature du piratage informatique, il est rare d’être sûr à 100 % de qui est derrière tout cela, mais dans le cas de mon quasi-accident, Monaghan m’a dit que les liens, les scripts et même les faux comptes associés à Adam Swick pointaient tous vers la Corée du Nord. Les enquêteurs combineront les preuves, y compris l’analyse de la blockchain, pour relier l’affaire à la République populaire démocratique de Chine. Deux autres chercheurs en sécurité qui traquent les pirates informatiques nord-coréens ont ensuite corroboré son évaluation lorsque je leur ai envoyé le script et le lien de vidéoconférence.
« Dites-leur que Tay vous dit bonjour (mdr) », a déclaré Monaghan en désignant le Nord-Coréen qui m’a poursuivi.
Monaghan et d’autres chercheurs en sécurité ont répondu à des centaines d’incidents impliquant de fausses vidéoconférences dans le secteur des cryptomonnaies. Ce plan est formel mais efficace.
Les pirates prennent le contrôle des comptes Telegram de vraies personnes et contactent leurs contacts. Ces contacts sont invités à se connecter à l’appel vidéo, mais l’audio ne fonctionne pas toujours. Les victimes sont invitées à effectuer une mise à jour pour résoudre le problème de son. Une fois que le pirate informatique a exécuté le script, il a accès aux crypto-monnaies, aux mots de passe et au compte Telegram de la victime. En fait, le même groupe nord-coréen qui m’a ciblé est à l’origine d’un piratage visant à exploiter massivement les développeurs de logiciels, a déclaré Google dans un rapport publié mercredi.
Je ne suis pas un investisseur Bitcoin qui conduit une Lamborghini, mais la Corée du Nord ne cible pas seulement les riches, a déclaré Monaghan. Elle a vu des pirates cibler un nombre croissant de journalistes crypto. Cela est probablement dû au fait que leurs comptes Telegram contiennent un Rolodex important. Certains de ces contacts font probablement fortune dans les cryptomonnaies.
Comme un virus qui s’empare des cellules saines, les pirates détruisent ces comptes nouvellement compromis et ciblent les contacts des utilisateurs. J’ai failli être infecté. Je pensais parler à quelqu’un que je connaissais et j’ai ressenti un sentiment de sécurité.
« S’il vous plaît, mentez-moi. »
Après avoir effacé mon ordinateur portable, changé mon mot de passe et remercié abondamment l’administrateur informatique de Fortune, j’ai finalement appelé ma source sur son téléphone portable. Sans surprise, son compte Telegram a été piraté début mars. « J’avais beaucoup de contacts sur Telegram que je n’avais pas enregistrés sur mon téléphone ou mon ordinateur », a-t-il déclaré. « Mais pour moi, plus que cela, c’est une violation de savoir que quelqu’un se fait passer pour vous et utilise votre nom pour tromper les gens. »
Il a ensuite demandé de l’aide sur Telegram à plusieurs reprises au cours de trois semaines, mais n’a reçu aucune réponse. (« Telegram fait tout ce qu’il peut pour protéger les comptes, mais aucune plateforme ne peut protéger les utilisateurs qui sont amenés à fournir leurs informations de connexion à des acteurs malveillants », m’a dit un porte-parole dans un communiqué, ajoutant que l’application avait gelé le compte de l’investisseur du hedge fund après que je l’ai contacté.)
J’ai aussi appelé le vrai Swick. Des pirates se font passer pour lui sur Telegram depuis début février, et l’ancien cadre de MARA Holdings a reçu une avalanche de SMS et d’appels téléphoniques lui demandant pourquoi il souhaitait organiser une réunion. Il semblait toujours s’excuser. « Mais certains d’entre eux sont venus me voir et m’ont dit : ‘Hé, pourquoi tu t’excuses ?' », a déclaré Swick. « Et j’ai dit : ‘Je ne sais pas. Je pense que vous me dénaturez et que vous vous excusez. Je suis vraiment désolé que cela soit arrivé.' »
Swick ne savait pas pourquoi le pirate informatique se faisait passer pour lui, et ma source, un investisseur en hedge funds, ne savait pas comment son compte Telegram avait été compromis. Mais à la fin de l’appel, l’investisseur et moi sommes tombés sur une réponse potentielle.
Fake Swick était l’une des dernières personnes à qui l’investisseur a parlé avant le piratage de son compte Telegram. « J’ai sauté sur Zoom avec lui et je n’ai pas pu connecter l’audio », a déclaré ma source. « Je me souviens vaguement d’avoir essayé de télécharger quelque chose. »
En d’autres termes, mes sources ont peut-être été ciblées par les mêmes pirates informatiques qui m’ont ciblé. Après que lui et moi avons réalisé que son ordinateur portable pourrait être endommagé, l’investisseur du hedge fund a raccroché et a effacé son ordinateur.
J’ai contacté le faux Adam Swick sur Telegram. « Ce compte est-il contrôlé par quelqu’un associé à la Corée du Nord ? J’ai écrit.
Je n’ai pas encore reçu de réponse.
