Comment le trader chinois de gré à gré Yicong Wang a aidé le groupe Lazarus à convertir des cryptomonnaies volées en cash

Yicong Wang, un trader chinois sur le marché OTC, blanchit depuis 2022 des cryptomonnaies volées pour le compte du tristement célèbre groupe de pirates informatiques nord-coréen connu sous le nom de Lazarus Group.

Connu pour utiliser des pseudonymes tels que Seawang, Greatdtrader et BestRhea977, Wang a aidé à convertir des dizaines de millions de dollars en cryptomonnaie volée en cash par le biais de virements bancaires.

L'enquêteur ZachXBT, spécialisé dans la blockchain, a révélé l'implication de Wang après qu'une victime l'a contacté en début d'année pour signaler le gel de son compte suite à une transaction P2P effectuée avec le criminel. Cette victime a également fourni à Zach l'adresse d'un portefeuille TRON utilisé par Wang, extraite d'une conversation WeChat.

Le rôle de Wang dans le blanchiment de cryptomonnaies volées

de Zach Les recherches ont révélé que Yicong Wang a facilité le blanchiment de fonds volés lors de piratages liés à Lazarus, comme ceux d'Alex Labs, d'EasyFi, de Bondly et du cofondateur d'Irys.

Plus précisément, une adresse contrôlée par Wang a consolidé 17 millions de dollars provenant de ces piratages, dont 374 000 USDT mis sur liste noire par Tether en novembre 2023. Après cette mise sur liste noire, les fonds restants ont été rapidement transférés vers Tornado Cash, le tristement célèbre service de mixage de cryptomonnaies.

Entre novembre et décembre 2023, 13 transactions de 100 ETH chacune ont été retirées et transférées vers une autre adresse Ethereum . Plus tard en décembre, 45 000 $ ont été transférés vers TRON, pour finalement atterrir dans des portefeuilles liés à Wang.

Malgré les tentatives de Tether pour bloquer ces fonds, il a transféré l'argent efficacement via des services de mixage de cryptomonnaies.

L'attaque de Lazarus contre Alex Labs en mai 2024 a entraîné une perte de 4,5 millions de dollars. Peu après, l'une des adresses piratées a déposé 470 ETH dans un protocole de confidentialité.

Le même montant a été retiré et transféré vers deux nouvelles adresses en quelques heures. Entre le 27 et le 28 juin de cette année, 449 ETH supplémentaires ont suivi le même schéma et se sont retrouvés sur les comptes de Wang.

Encore plus de cryptomonnaies volées blanchies

En juillet, le groupe Lazarus a lancé une nouvelle attaque, ciblant cette fois le cofondateur d'Irys. Ils ont utilisé une campagne d'hameçonnage ciblée par courriel pour dérober 1,3 million de dollars en cryptomonnaies. L'ETH volé a suivi le même circuit qu'auparavant, Wang facilitant le blanchiment.

Le 31 juillet, les 70,8 ETH volés ont été déposés sur un protocole de confidentialité, suivis de 338 ETH supplémentaires. Ces fonds ont ensuite transité par plusieurs adresses avant d'atterrir dans les portefeuilles TRON de Wang.

Le 13 août, Wang avait blanchi 1,5 million de dollars supplémentaires en USDT provenant des piratages du groupe Lazarus. Durant cette période, les fonds ont été transférés d' Ethereum vers TRON, directement liés à ses comptes.

Les enquêtes menées sur ces transactions ont montré qu'une adresse Ethereum mise sur liste noire par Tether en août, contenant 948 000 USDT, était également liée à Wang.

Avant d'être blacklisté, 746 000 USDT ont été transférés vers l'une de ses adresses. Wang a poursuivi ses activités même après avoir été banni de plateformes majeures comme Paxful et Noones pour blanchiment d'argent.

Bien que ses comptes sous ces pseudonymes aient été fermés, Wang a continué à effectuer des transactions hors site, aidant ainsi le groupe Lazarus à blanchir des fonds.

La menace permanente que représente Lazarus pour l'industrie des cryptomonnaies

Au 23 octobre 2024, Lazarus Group demeure l'une des menaces les plus sérieuses pour le secteur des cryptomonnaies. Le groupe continue de mener des attaques informatiques de grande envergure, ciblant des plateformes centralisées et décentralisées. 

Leurs méthodes sont devenues de plus en plus sophistiquées, utilisant des campagnes d'ingénierie sociale comme « Eager Crypto Beavers » pour inciter les professionnels de la blockchain à télécharger des logiciels malveillants. Ces logiciels volent lesdentet l'accès aux portefeuilles de cryptomonnaies, facilitant ainsi le pillage des fonds par Lazarus.

Rien qu'en 2024, ce groupe de pirates informatiques est responsable de nombreux piratages majeurs. En juillet, ils ont notamment piraté la plateforme d'échange de cryptomonnaies indienne WazirX, entraînant des pertes de plus de 235 millions de dollars.

Ils ont également ciblé des plateformes centralisées comme Stake.com, qui a perdu 41 millions de dollars en septembre 2023, et Deribit, qui a subi une perte de 28 millions de dollars en novembre 2022.

Malgré certains progrès réalisés par les forces de l'ordre, la récupération des fonds volés s'avère complexe. Le département de la Justice américain (DOJ) s'efforce activement de tracet de récupérer les cryptomonnaies dérobées par Lazarus, mais les méthodes de blanchiment employées par le groupe rendent la tâche difficile.

Plus tôt ce mois-ci, le ministère de la Justice a intenté des poursuites pour récupérer plus de 2,67 millions de dollars d'actifs numériques volés lors des piratages de Deribit et Stake.com. Cependant, ces efforts ne représentent qu'une fraction du montant total dérobé par Lazarus.