Yicong Wang, un comerciante OTC chino, ha estado lavando criptomonedas robadas para el notorio grupo de piratería norcoreano conocido como Lazarus Group desde 2022.
Conocido por usar seudónimos como Seawang, Greatdtrader y BestRhea977, Wang ha ayudado a convertir decenas de millones de dólares en criptomonedas robadas en cash a través de transferencias bancarias.
El investigador en cadena ZachXBT expuso la participación de Wang después de que una víctima se pusiera en contacto con él a principios de año para informarle que su cuenta había sido congelada tras completar una transacción P2P con el delincuente. También le proporcionaron a Zach la dirección de una billetera TRON utilizada por Wang, obtenida de una conversación de WeChat.
El papel de Wang en el lavado de criptomonedas robadas
La investigación de Zach reveló que Yicong Wang facilitó el lavado de fondos robados de ataques relacionados con Lazarus, como los de Alex Labs, EasyFi, Bondly y el cofundador de Irys.
Específicamente, una dirección controlada por Wang consolidó $17 millones de estos hackeos, con $374K USDT en la lista negra de Tether en noviembre de 2023. Después de esta lista negra, los fondos restantes se movieron rápidamente a Tornado Cash, el infame mezclador de criptomonedas.
Entre noviembre y diciembre de 2023, se retiraron 13 transacciones de 100 ETH cada una y se transfirieron a otra dirección Ethereum . Más tarde, en diciembre, se transfirieron $45,000 a TRON, que finalmente llegaron a las billeteras vinculadas a Wang.
A pesar de los intentos de Tether de incluir estos fondos en la lista negra, movió el dinero eficientemente a través de servicios de mezcla de criptomonedas.
El ataque de Lazarus a Alex Labs en mayo de 2024 resultó en una pérdida de 4,5 millones de dólares. Poco después, una de las direcciones pirateadas depositó 470 ETH en un protocolo de privacidad.
La misma cantidad se retiró y se transfirió a dos nuevas direcciones en cuestión de horas. Otros 449 ETH siguieron el mismo patrón entre el 27 y el 28 de junio de este año y terminaron en las cuentas de Wang.
Más criptomonedas robadas blanqueadas
En julio, el Grupo Lazarus lanzó otro ataque, esta vez dirigido contra el cofundador de Irys. Utilizaron una campaña de phishing por correo electrónico para robar 1,3 millones de dólares en criptomonedas. El ETH robado siguió la misma ruta que antes, con Wang facilitando el proceso de blanqueo.
El 31 de julio, los 70,8 ETH robados se depositaron en un protocolo de privacidad, seguidos de otros 338 ETH. Nuevamente, estos fondos se enviaron a múltiples direcciones antes de terminar en las billeteras TRON de Wang.
Para el 13 de agosto, Wang había blanqueado otros 1,5 millones de dólares en USDT gracias a los ataques de Lazarus Group. Durante este período, los fondos se transfirieron de Ethereum a TRON, vinculándose directamente a sus cuentas.
Las investigaciones sobre estas transacciones mostraron que una dirección Ethereum incluida en la lista negra de Tether en agosto, que contenía 948K USDT, también estaba conectada a Wang.
Antes de ser incluido en la lista negra, se transfirieron 746.000 USDT a una de sus direcciones. Wang no se detuvo ni siquiera tras ser expulsado de importantes plataformas como Paxful y Noones por lavado de dinero.
Aunque sus cuentas bajo esos alias fueron cerradas, Wang continuó realizando transacciones fuera del sitio, ayudando a Lazarus Group a lavar fondos.
La amenaza continua de Lázaro para la industria de las criptomonedas
Al 23 de octubre de 2024, el Grupo Lazarus sigue siendo una de las amenazas más peligrosas para la industria de las criptomonedas. Continúan perpetrando ataques de alto perfil, dirigidos a plataformas centralizadas y descentralizadas.
Sus métodos se han vuelto cada vez más sofisticados, utilizando campañas de ingeniería social como "Eager Crypto Beavers" para engañar a profesionales de blockchain y lograr que descarguen malware. Este malware robadenty acceso a billeteras de criptomonedas, lo que facilita que Lazarus drene fondos.
Solo en 2024, el grupo de hackers fue responsable de numerosos ataques importantes. En julio, vulneraron la plataforma india de intercambio de criptomonedas WazirX, lo que provocó pérdidas por más de 235 millones de dólares.
También apuntaron a plataformas centralizadas como Stake.com, que perdió 41 millones de dólares en septiembre de 2023, y Deribit, que sufrió una pérdida de 28 millones de dólares en noviembre de 2022.
Si bien las fuerzas del orden han logrado ciertos avances, recuperar los fondos robados ha sido un desafío. El Departamento de Justicia de EE. UU. (DOJ) trabaja activamente para tracy recuperar las criptomonedas robadas por Lazarus, pero los métodos de lavado de activos del grupo lo dificultan.
A principios de este mes, el Departamento de Justicia presentó demandas para recuperar más de 2,67 millones de dólares en activos digitales robados relacionados con los ataques a Deribit y Stake.com. Sin embargo, estos esfuerzos representan solo una fracción del total robado por Lazarus.
