Crypto : Washington remonte 15 M$ d’USDT de la filière nord-coréenne

Le Department of Justice a déposé deux plaintes civiles pour confisquer 15,1 M$ en USDT liés au groupe nord-coréen APT38. Ces fonds proviendraient de quatre hacks de plateformes en 2023 et avaient été saisis par le FBI en mars 2025. En parallèle, cinq complices ont plaidé coupable pour avoir aidé des travailleurs IT nord-coréens à se faire embaucher à distance par des entreprises américaines.

15,1 M$ tracés et saisis : la chronologie qui mène à la confiscation

Les dépôts décrivent un enchaînement précis. D’abord, quatre intrusions en 2023, attribuées à la filière APT38/Lazarus, avec un recyclage des prises via USDT. Ensuite, la saisie technique opérée par le FBI en mars 2025, une fois les flux remontés jusqu’à des portefeuilles identifiés. Enfin, deux plaintes en confiscation civile : la première, le 24 octobre (environ 1,16 M USDT), la seconde, le 14 novembre (13,98 M USDT).

Le DoJ demande au tribunal d’acter la forfeiture pour permettre, à l’issue, la restitution aux victimes. Le montant total atteint plus de 15 M$. Ce point est central, car il valide la traçabilité des passages par des points KYC.

Justice Department Announces Nationwide Actions to Combat Illicit North Korean Government Revenue Generation

Department Seeks Forfeiture of More Than $15M in Virtual Currency Stolen and Laundered by North Korean Hackers

🔗: https://t.co/2qZ73r3wYx pic.twitter.com/FRaqJjYW8f

— U.S. Department of Justice (@TheJusticeDept) November 14, 2025

La procédure n’est pas pénale, c’est une action civile qui vise les avoirs. Elle repose sur la capacité des agences à documenter les chemins on-chain ainsi que les interfaces où les fonds ont transité. Le DoJ insiste sur les cooperations inter-agences et sur l’usage combiné d’outils d’analyse blockchain et de demandes légales classiques. Pour les plateformes, le message est limpide : les gels préventifs et les saisies restent possibles si les flux touchent des guichets régulés.

La machine nord-coréenne : hacks, faux jobs IT et blanchiment en USDT

Au-delà des hacks, l’enquête cible la « machine à argent » qui exploite le télétravail. Des travailleurs IT nord-coréens usurpent des identités et se font embaucher par des sociétés américaines. Ils perçoivent leurs salaires, contournent les contrôles, puis alimentent Pyongyang.

Cette semaine, cinq personnes ont plaidé coupable pour avoir loué leurs identités, hébergé des « laptop farms » et servi d’interface. Les autorités évoquent 136 entreprises infiltrées et plus de 2,2 M$ générés pour la filière sur cette branche. Ces aveux appuient le tableau d’ensemble : des intrusions, des chaînes de blanchiment et des relais humains.

Read the FBI’s new PSA on North Korean IT workers illegally obtaining remote jobs with U.S. companies to generate profit for North Korea. Recently, these workers have leveraged their unlawful access to steal data and extort companies: https://t.co/8QEf3NQacn pic.twitter.com/Kg0Pa2sFMq

— FBI (@FBI) January 24, 2025

Ce volet « travailleurs IT » n’est pas isolé. Il prolonge des dossiers jugés plus tôt en 2025, dont des condamnations pour usurpation d’identité, blanchiment et fraude. Le DoJ relie explicitement ces stratagèmes à la financiarisation du programme d’armement de la Corée du Nord.

Dans ce contexte, la saisie des 15,1 M$ d’USDT ne vaut pas seulement pour le montant. Elle documente l’architecture opérationnelle, étape par étape, et prépare d’éventuelles sanctions secondaires contre des intermédiaires récidivistes.

WARNING: The FBI continues warning that North Korean IT workers are using a variety of tactics to disguise identities to gain fraudulent employment, access to US company networks, and generate revenue for the North Korean regime. Protect your business, and help the FBI Defend the… pic.twitter.com/vpCnmU2sp5

— FBI Pittsburgh (@FBIPittsburgh) July 29, 2025

Stablecoins, compliance et effet d’entraînement : ce que Washington veut dire au marché

Cette affaire rappelle deux réalités. D’abord, la traçabilité des stablecoins fonctionne, surtout lorsque les flux touchent des points KYC. Les adresses et les itinéraires laissent une empreinte exploitable en justice.

Ensuite, les acteurs OTC, les brokers et certaines bourses s’exposent s’ils faiblissent sur les processus d’entrée et de sortie. L’affaire met en lumière la co-responsabilité des intermédiaires, y compris lorsque les montants semblent fragmentés ou dilués.

Pour le marché, l’impact est plus qualitatif que quantitatif. Le chiffre de 15,1 M$ n’est pas massif au regard des volumes d’USDT. Mais la séquence procédurale crée un précédent utile. Elle précise comment un ministère peut articuler analyse on-chain, saisies techniques et confiscation civile pour restituer. D’ici la suite de l’affaire, la pression va monter sur les filtrages et sur les rapports d’incident côté compliance.

Cette action s’inscrit dans une stratégie d’attrition. Washington assèche la trésorerie illicite, judiciarise les intermédiaires et médiatise les cas exemplaires. La logique est claire : dissuader par la prévisibilité de la réponse, éduquer les entreprises, et renforcer la coopération avec les alliés. Les prochains mois diront si l’arsenal civil et pénal continue de grignoter la rentabilité de la filière.

---

Source : U.S. Department of Justice

---

Pour aller plus loin sur le sujet :

• Corée du Nord : la crypto volée finance la bombe nucléaire
• Corée du Nord : les faux RH ciblent la crypto
• CZ, le fondateur de Binance, visé par des hackers gouvernementaux