Depuis plusieurs mois, des agents nord-coréens parviennent à infiltrer des entreprises européennes en se faisant passer pour des informaticiens. Google Threat Intelligence alerte sur la recrudescence de ces recrutements frauduleux, qui leur permettent d’accéder à des systèmes sensibles tout en contournant les restrictions imposées par les États-Unis. Les entreprises concernées embauchent ces faux experts via des plateformes de travail en ligne et effectuent les paiements en cryptomonnaies, ce qui rend leur traçabilité plus complexe. Certains de ces individus ne se contentent pas de collecter des informations : lorsqu’ils sont démasqués ou licenciés, ils menacent de divulguer des données confidentielles pour obtenir des paiements supplémentaires.

« That escalated quickly », comme dirait Ron Burgundy, en voyant les proportions importantes que le phénomène a pris dès la fin 2024. Une période marquée par un renforcement des contrôles aux États-Unis sur les travailleurs indépendants en lien avec la Corée du Nord. Sentant le vent du boulet, les espions ont déplacé leurs activités vers l’Europe, où les vérifications d’identité sont moins systématiques dans certains secteurs. Google Threat Intelligence a identifié plusieurs cas de travailleurs utilisant de fausses identités pour décrocher des contrats dans des domaines sensibles comme la cybersécurité, le développement logiciel et la blockchain. Certains d’entre eux gèrent simultanément plusieurs profils sous des noms différents. Un informaticien en particulier aurait utilisé douze identités distinctes, réparties entre l’Europe et les États-Unis, pour multiplier les contrats et brouiller les pistes.

Les pays les plus touchés par ces infiltrations incluent l’Allemagne, le Portugal et le Royaume-Uni. Dans plusieurs cas, ces faux informaticiens ont participé à des projets impliquant des technologies avancées comme Next.js, React, Golang et la blockchain. Ils parviennent à intégrer des entreprises en postulant sur des plateformes de travail à distance comme Upwork, Telegram et Freelancer. Le paiement en cryptomonnaie, via des services comme Payoneer, complique encore leur détection, car ces transactions n’ont pas toujours d’empreinte bancaire exploitable.

Des documents récupérés montrent que ces travailleurs utilisent parfois des intermédiaires pour contourner les procédures de vérification d’identité. Certains disposent de faux papiers établis en Serbie ou en Slovaquie. D’autres vont encore plus loin en simulant une présence physique dans un pays occidental. Un cas documenté révèle qu’un ordinateur censé être utilisé à New York était en réalité actif à Londres. Clairement, on n'a pas affaire à des lapins de six semaines.