DPRK IT Workers — Schéma d’infiltration économique
par des faux travailleurs informatiques nord-coréens
Identification & Attribution
Le programme DPRK IT Workers désigne une opération structurée d’infiltration économique conduite sous l’autorité du gouvernement de la République populaire démocratique de Corée (RPDC). Il ne s’agit pas d’un groupe APT au sens traditionnel du terme, mais d’une capacité offensive hybride combinant fraude à l’identité, ingénierie sociale et accès non autorisé à des systèmes informatiques d’entreprise, à des fins de génération de revenus illicites au profit du régime (1).
L’opération est directement attribuée à des entités étatiques nord-coréennes, dont le Ministère de la Défense de la RPDC, selon les avis publiés conjointement par le FBI, le Département du Trésor et le Département d’État américains (1). Des facilitateurs basés aux États-Unis, en Chine et dans d’autres pays tiers ont été identifiés comme maillons intermédiaires du dispositif.
Le schéma est actif depuis au moins 2021 et a généré plus de 5 millions de dollars de revenus illicites sur une période de trois ans dans la seule affaire jugée, avec des estimations collectives atteignant plusieurs centaines de millions de dollars annuels pour l’ensemble du programme à l’échelle mondiale (1).
Infrastructure & TTPs
Vecteur initial — Fraude à l’emploi
Le schéma repose sur l’usurpation d’identité de ressortissants américains pour obtenir des emplois à distance dans des entreprises victimes. Des sociétés écrans sont constituées pour crédibiliser l’affiliation professionnelle des travailleurs fantômes. Des switches KVM (Keyboard-Video-Mouse) permettent aux opérateurs distants — physiquement localisés hors des États-Unis — d’accéder à distance aux équipements fournis par les entreprises victimes, hébergés dans des « laptop farms » situées sur le territoire américain (1).
Tableau MITRE ATT&CK
| Tactique | Technique | ID | Description |
|---|---|---|---|
| Resource Development | Establish Accounts | T1585 | Création de comptes professionnels (LinkedIn, sites d’emploi) sous identités usurpées |
| Resource Development | Acquire Infrastructure | T1583 | Constitution de sociétés écrans, ouverture de comptes bancaires frauduleux |
| Resource Development | Compromise Accounts | T1586 | Utilisation d’identités volées de ressortissants américains (>80 victimes) |
| Initial Access | Valid Accounts | T1078 | Obtention d’accès légitimes via contrats d’emploi frauduleux |
| Initial Access | External Remote Services | T1133 | Accès distant aux équipements victimes via KVM switches |
| Defense Evasion | Masquerading | T1036 | Usurpation d’identité, faux profils, sociétés écrans sans activité réelle |
| Defense Evasion | Impersonation | T1656 | Prétexte d’employé américain légitime pour maintenir l’accès |
| Collection | Data from Local System | T1005 | Accès aux fichiers techniques et données sensibles sur les postes victimes |
| Collection | Data from Information Repositories | T1213 | Exfiltration de code source et de données ITAR depuis un contractant défense |
| Exfiltration | Exfiltration Over Web Service | T1567 | Transfert de données via les accès distants légitimement établis |
| Impact | Financial Theft | T1657 | Génération de revenus au profit du régime via détournement de salaires |
Infrastructure & Outillage
Historique des campagnes
| Période | Événement |
|---|---|
| 2021 | Début du schéma impliquant Kejia Wang et Zhenxing Wang, recrutement de facilitateurs américains |
| Mai 2022 | Avis conjoint FBI / Trésor / State Department sur les risques liés aux travailleurs IT nord-coréens |
| 2023 | Déplacement de Kejia Wang à Shenyang et Dandong (Chine) pour rencontrer les opérateurs étrangers |
| Juil. 2023 | Avis de l’Office of the Director of National Intelligence sur le schéma DPRK IT Workers |
| Oct. 2023 | Guidance conjointe États-Unis / République de Corée sur les indicateurs de compromission |
| Jan.–Avr. 2024 | Accès non autorisé aux systèmes d’un contractant défense californien, exfiltration de données ITAR |
| Oct. 2024 | Perquisitions dans 8 sites répartis sur 3 États, saisie de 70+ équipements et 4 domaines web |
| Juin 2025 | Acte d’accusation contre 10 individus, saisie de 17 domaines et 29 comptes financiers |
| Sept. 2025 | Plaidoyer de culpabilité de Kejia Wang (District of Massachusetts) |
| Jan. 2026 | Plaidoyer de culpabilité de Zhenxing Wang |
| Avr. 2026 | Condamnation — Kejia Wang : 108 mois / Zhenxing Wang : 92 mois / Forfeiture : 600 000 USD |
IOCs
- Hopana Tech LLC New Jersey
- Tony WKJ LLC New Jersey
- Independent Lab LLC New Jersey
- Xu Yongzhe (徐勇哲)
- Huang Jingbin (黄靖斌)
- Tong Yuze (佟雨泽)
- Zhou Baoyu (周宝玉)
- Yuan Ziyou alias Samuel Yuan
- Zhou Zhenbang (周震邦)
- Liu Menting (劉孟婷)
- Liu Enchia (刘恩嘉)
- Song Min Kim alias Chengmin Jin — opérateur IT présumé
- Utilisation de procurations pour la gestion des équipements fournis par l’employeur
- Adresses de livraison ne correspondant pas à la localisation déclarée du candidat
- Demandes d’installation de logiciels de virtualisation ou d’accès distant non justifiées
- Incohérences entre le profil LinkedIn et le CV soumis
- Refus de participer à des appels vidéo ou activation systématique de filtres vidéo
- Création de multiples identités sur les plateformes d’emploi
Détection & Contre-mesures
Mettre en place une vérification d’identité renforcée pour les recrutements 100% à distance, incluant une validation documentaire par un tiers de confiance. Exiger la participation à des entretiens vidéo sans filtres ou arrière-plans virtuels. Vérifier la cohérence des adresses IP de connexion avec la localisation géographique déclarée du candidat (1).
Interdire toute réexpédition ou hébergement d’équipements professionnels chez des tiers non identifiés. Déployer des solutions MDM permettant de détecter la présence de périphériques KVM ou de logiciels de virtualisation non autorisés. Activer la géolocalisation des équipements et alerter sur les connexions depuis des plages IP non conformes à la politique de l’entreprise.
Appliquer le principe du moindre privilège dès l’onboarding des prestataires distants. Segmenter les accès aux dépôts de code source et aux données sensibles (notamment ITAR/EAR pour les entreprises de défense). Activer la journalisation des accès aux référentiels et mettre en place des alertes sur les volumes d’accès anormaux.
Vérifier la cohérence entre les coordonnées bancaires fournies et l’identité déclarée du prestataire. Être vigilant face aux demandes de virement vers des comptes associés à des sociétés sans présence en ligne vérifiable.
Tout schéma suspect doit être signalé au FBI via ic3.gov. Le programme Rewards for Justice du Département d’État offre jusqu’à 5 millions de dollars pour toute information permettant de perturber les mécanismes financiers du régime nord-coréen liés à ce type d’opération (1).
- DOJ Press Release 26-362 — Two U.S. Nationals Sentenced for Facilitating Fraudulent Remote IT Worker Scheme — April 15, 2026 :
https://www.justice.gov/opa/pr/two-us-nationals-sentenced-facilitating-fraudulent-remote-information-technology-worker
