Comment les développeurs fantômes de Kim Jong-un infiltrent les entreprises européennes

Sur le réseau social des codeurs GitHub, on trouve parfois d'étranges offres de travail. Comme cette "opportunité de collaboration", partagée par XiuTing Chan, qui se présente comme le directeur technique de l'entreprise singapourienne DeeGix. Le développeur cherche des partenaires basés en Europe ou aux États-Unis. En échange d'un salaire de 5 000 dollars par mois, les recrues doivent seulement "passer deux ou trois heures par mois en face du client, pour répondre à ses questions". Un emploi garanti "sans stress technique", selon la fiche de poste : tout le travail de développement doit être effectué en interne par les équipes de XiuTing Chan.

Sauf que ce dernier ne travaille pas réellement chez DeeGix. L'homme sur la photo de profil GitHub a probablement été créé par une intelligence artificielle, et, selon LinkedIn, XiuTing Chan travaille pour une autre entreprise. D'après les recherches de Flare et d'IBM, l'offre d'emploi a été écrite par un type particulier d'agent nord-coréen, afin de recruter des collaborateurs occidentaux. Cette offre d'emploi est l'une des rares facettes visibles d'un vaste réseau de travailleurs de Corée du Nord, chargés d'intégrer les entreprises occidentales en tant qu'ingénieurs informatiques. Dans un unique but : gagner un salaire et enrichir le régime de Kim Jong-un.

Les recrues trompées

Ces "IT workers" nord-coréens, comme ils sont désignés en anglais, représentent une menace accrue pour les entreprises américaines et européennes. Contrairement aux hackers, leur mission principale n'est pas de détourner de l'argent ou d'infecter les entreprises avec des rançongiciels, mais d'être des employés modèles. Diverses techniques leur permettre de se fondre dans la masse et d'empocher chaque année des sommes considérables. Une note du gouvernement américain de 2022 estimait que chacun d'eux pouvait gagner jusqu'à 300 000 dollars par an. Une manne pour le régime de Pyongyang, puisqu'il existait en 2023, selon l'ONU, entre 3 000 et 10 000 travailleurs de ce type.

En Corée du Nord, ils sont jugés comme des rouages essentiels et des héros. Pourtant, ces employés de l'ombre vivent dans de piètres conditions. Un rapport de DTex indiquait qu'en 2025, le régime avait doublé les quotas mensuels pour les travailleurs installés en Chine, où la plupart des IT workers sont installés afin d'avoir accès à Internet. Ils sont loin de rouler sur l'or : sur 5 000 dollars volés, chacun ne touche généralement que 200 dollars. Les recherches de Flare et IBM montrent que les nouvelles recrues, issues des universités les plus prestigieuses du pays, n'ont souvent pas conscience de la véritable nature du travail qu'elles effectueront. Les recruteurs leur font croire qu'ils vont travailler pour des "start-up secrètes", qui seront bientôt rendues publiques. Ils leur font parfois même miroiter l'obtention de la nationalité américaine, lorsqu'ils leur demandent d'adopter un faux nom anglo-saxon. "Les candidats semblent entraînés à leur insu dans le stratagème mis en place par le recruteur", écrivent les chercheurs. Une fois pris au piège, impossible d'en sortir.

Des journées de 14 heures de travail

Les conditions de travail sont déplorables. Les informaticiens travaillent six jours sur sept, souvent plus de 12 heures par jour, avec peu de pauses. Ils sont étroitement surveillés et doivent noter leurs heures de travail à la seconde près. Tous les IT workers sont comparés et classés. Un employé ayant travaillé en moyenne 14 heures par jour était classé premier, un autre n'ayant œuvré que 11 heures plafonnait à la 21e place. Ils doivent également renseigner le nombre d'offres auxquels ils postulent, et le nombre de messages qu'ils envoient sur des plateformes d'emploi freelance.

Afin de multiplier leurs chances, des guides pour créer de bons CV, parfois volés sur des agences de recrutement, sont mis à leur disposition. Certains travailleurs nord-coréens envoient jusqu'à 300 messages par jour sur des plateformes comme UpWork, Nextdoor, Fiverr ou LinkedIn. Selon les estimations de Flare et d'IBM, ils doivent soumettre plus de 1 000 candidatures pour n'obtenir, en moyenne, qu'une dizaine de missions, le tout pour une rémunération comprise entre 200 et 1 000 dollars.

Les informaticiens nord-coréens sont également encouragés à multiplier les profils et les fausses identités pour couvrir le plus de régions possible. Ils choisiront des noms, des universités et des entreprises allemandes pour des profils prétendant être basés à Berlin ou des noms perses pour des avatars iraniens. L'Inde, la Croatie, la Tchéquie, la Colombie, l'Irlande, la Syrie, l'Arabie saoudite et le Japon figurent parmi les pays plébiscités par les Nord-Coréens.

Quand ils obtiennent des entretiens d'embauche, ils s'aident de chatbots et d'IA pour changer leur apparence et répondre aux questions. Ils utilisent Google Traduction pour rédiger leurs messages en anglais. L'IA est aussi de plus en plus utilisée pour créer de faux profils de manière automatisée. "Il existe des sites spécialisés qui créent des légendes pour ces faux profils crédibles en fonction des pays", pointe Oleg Lypko, chercheur chez Flare.

Des intermédiaires occidentaux

Un certain Paul Millet, retrouvé par les chercheurs, était ainsi présenté comme un profil français. Il n'est pas le seul. "Nous avons trouvé des fichiers Excel entiers de ces faux profils utilisés par les Nord-Coréens", explique le chercheur. Parfois, l'IA est utilisée pour modifier de véritables photos d'identité ou créer de fausses images d'intérieur d'appartement, afin de rendre le postulant plus crédible. Certains avatars sont des profils volés et revendus sur des forums du darkweb. D'autres sont ceux de vraies personnes, bernés par de fausses annonces, comme celle de XiuTing Chan.

"Les Nord-Coréens ont besoin de se présenter physiquement à certaines occasions", précise Oleg Lypko. Des intermédiaires humains sont alors utilisés pour passer des tests antidrogue demandés par les employeurs, fournir des passeports, aller chercher un ordinateur professionnel ou remplir des formulaires administratifs. "Pour ce genre de tâches, ils cherchent des profils spécifiquement basés aux États-Unis et en Europe".

Certains intermédiaires donnent, en effet, sciemment leurs identités et leurs informations aux Nord-Coréens, soit pour des raisons idéologiques, soit contre de l'argent. Le cas de l'Américaine Christina Chapman est frappant. Recrutée sur LinkedIn, la cinquantenaire a, pendant des mois, aidé des travailleurs nord-coréens à infiltrer des entreprises américaines, transformant sa maison en véritable "ferme" à ordinateurs et facilitant le détournement de millions de dollars au profit de Pyongyang. Dans certains cas, la collaboration est jugée tellement fructueuse que des membres de la famille ou des amis sont également recrutés comme intermédiaires.

Si la sphère nord coréenne visait jusque-là beaucoup les projets liés aux cryptomonnaies, depuis le mois de mars 2025, le régime a désigné une nouvelle cible : le secteur de l'intelligence artificielle. Kim Jong-un a officiellement fait de l'IA une priorité militaire, avec l'annonce de drones suicides pilotés par ces systèmes. Une technologie que le pays est pourtant loin de maîtriser. Pour combler ce retard, les IT workers cibleraient particulièrement les entreprises spécialisées du secteur de la défense, des drones, des lasers, et de l'IA d'après les recherches de DTex. La menace des travailleurs de l'ombre n'est pas près de se dissiper.