Imaginez-vous connecter à votre compte bancaire un matin et découvrir que tout est bloqué. Pas par une panne technique banale, mais parce qu’un ransomware a pris en otage des millions de clients… à des milliers de kilomètres de chez vous. C’est exactement ce qui vient de se produire en Corée du Sud, avec une particularité glaçante : derrière l’attaque se cachent des acteurs russes et nord-coréens qui, pour la première fois, ont officiellement collaboré.
Quand Moscou et Pyongyang s’allient dans le cyberespace
Le rapport mensuel de Bitdefender, publié fin octobre, a levé le voile sur une opération d’une ampleur inédite. Des groupes historiquement rivaux ou indifférents ont mis leurs compétences en commun pour viser un seul et même objectif : le secteur financier sud-coréen. Le bilan est lourd : environ 2 téraoctets de données sensibles ont été exfiltrés avant même que le ransomware Qilin ne verrouille les systèmes.
Cette quantité représente des millions de dossiers clients, des historiques de transactions, des informations stratégiques internes et, potentiellement, des données qui pourraient servir au blanchiment ou au financement d’activités illicites.
Comment tout a commencé : la faille du tiers de confiance
L’attaque n’est pas entrée par la grande porte. Elle a profité d’une méthode désormais classique mais toujours aussi efficace : la compromission d’un fournisseur tiers. Une seule entreprise, probablement un prestataire informatique ou un éditeur de logiciel utilisé par plusieurs banques, a suffi pour ouvrir la brèche.
Une fois à l’intérieur du réseau du fournisseur, les attaquants ont patiemment escaladé les privilèges, cartographié les connexions vers les établissements financiers et préparé le terrain. Plusieurs semaines, voire plusieurs mois de reconnaissance avant le grand soir.
Ce schéma rappelle douloureusement l’attaque SolarWinds de 2020, mais avec une différence majeure : ici, deux États aux agendas pourtant divergents ont coordonné leurs efforts.
Qilin, le ransomware qui monte en puissance
Le choix du ransomware n’est pas anodin. Qilin (parfois orthographié « Kylin » ou « Agenda » dans ses anciennes versions) est apparu en 2022 et s’est rapidement imposé comme l’un des plus sophistiqués du marché noir. Héritier direct de la nébuleuse Conti dissoute après l’invasion de l’Ukraine, il est aujourd’hui opéré par des russophones extrêmement professionnels.
Ce qui le distingue ? Une vitesse d’exfiltration record, un chiffrement ultra-rapide et une capacité à désactiver presque toutes les solutions EDR classiques. Autrement dit : quand Qilin frappe, il est déjà trop tard.
« Nous avons observé une coopération tactique claire entre acteurs russophones et nord-coréens, chose jamais vue à cette échelle auparavant. »
Bulletins internes Bitdefender, octobre 2025
Pourquoi la Corée du Sud ? Une cible stratégique à plusieurs niveaux
Le choix du pays n’a rien d’aléatoire. Séoul représente le quatrième plus grand marché fintech d’Asie, avec un taux de digitalisation bancaire proche de 98 %. Les Sud-Coréens effectuent presque toutes leurs transactions sans cash, ce qui rend chaque fuite de données particulièrement destructrice.
Mais il y a plus. Depuis 2022, la Corée du Sud a durci ses sanctions contre la Russie et surtout contre la Corée du Nord, notamment sur les transferts de technologie et les avoirs gelés. Cette cyberattaque pourrait bien être une forme de représailles hybrides.
Enfin, le secteur bancaire sud-coréen reste une porte d’entrée rêvée pour qui veut blanchir des cryptomonnaies volées – une spécialité nord-coréenne bien documentée par l’ONU.
Les acteurs identifiés : qui sont-ils vraiment ?
Côté russe, les indices pointent vers d’anciens membres ou affiliés du défunt groupe Conti, recyclés sous de nouvelles bannières. Ces cybermercenaires, souvent tolérés voire encouragés par Moscou tant qu’ils n’attaquent pas de cibles russes, apportent la maîtrise technique du ransomware.
Côté nord-coréen, on retrouve très probablement des éléments du célèbre groupe Lazarus ou de ses ramifications (Andariel, Bluenoroff). Pyongyang apporte, lui, l’expérience inégalée du vol de cryptomonnaies et des campagnes de longue durée contre la Corée du Sud.
La complémentarité est évidente : les Russes apportent le ransomware, les Nord-Coréens l’accès initial et la connaissance fine des cibles coréennes. Un mariage de raison terrifiant.
Les conséquences déjà visibles… et celles à venir
À l’heure où ces lignes sont écrites, les banques touchées n’ont pas officiellement communiqué. Mais les signes ne trompent pas : interruptions de service prolongées, messages d’erreur inhabituels, reports de mises à jour critiques… Les clients commencent à s’inquiéter.
Pire : les données exfiltrées risquent d’apparaître sur le dark web dans les prochains jours ou semaines, avec des conséquences dramatiques pour la confiance dans le système bancaire sud-coréen.
Scénarios possibles dans les prochains mois :
- Vente des données à des cybercriminels tiers
- Utilisation pour des campagnes de phishing ultra-ciblées
- Chantage direct auprès des clients VIP
- Alimentation de réseaux de blanchiment en cryptomonnaies
Et l’Europe dans tout ça ?
Ce qui arrive en Corée du Sud aujourd’hui peut parfaitement arriver en Europe demain. La France, l’Allemagne ou le Royaume-Uni utilisent massivement des fournisseurs tiers pour leurs systèmes bancaires. Une seule faille chez l’un d’eux suffirait.
Plus inquiétant encore : la coopération russo-nord-coréenne ouvre la porte à d’autres alliances improbables. Iran ? Chine continentale ? Les scénarios cauchemardesques se multiplient.
Comment se protéger quand les États s’en mêlent ?
Face à des attaquants bénéficiant de ressources quasi-illimitées, les solutions classiques montrent leurs limites. Pourtant, quelques mesures peuvent encore faire la différence :
- Ségrégation stricte des réseaux tiers
- Authentification multifacteur même pour les prestataires
- Surveillance comportementale avancée (UEBA)
- Plans de crise testés régulièrement
- Chiffrement des données au repos ET en transit
Mais soyons honnêtes : quand deux États décident de frapper ensemble, la question n’est plus seulement technique. Elle devient politique.
L’affaire sud-coréenne marque probablement un tournant. Nous venions à peine de nous habituer à l’idée de cybermercenaires russes opérant en toute impunité. Nous voici désormais confrontés à des alliances étatiques cybercriminelles coordonnées. Le game a changé. Et personne n’est prêt.
