Le groupe Lazarus, en Corée du Nord, s'attaque aux comptes d'investisseurs particuliers ; un trader perd plus de 5,2 millions de dollars en cryptomonnaies

Le groupe nord-coréen Lazarus est impliqué dans une cyberattaque qui a dérobé plus de 5,2 millions de dollars à un trader de cryptomonnaies le 24 mai, selon ZackXBT, spécialiste de la blockchain. Le vol a été perpétré grâce à un logiciel malveillant sophistiqué, les fonds ayant été détournés de plusieurs types de portefeuilles, notamment des portefeuilles multisignatures, des comptes détenus par des tiers (EOA) et des portefeuilles d'échange. 

L'incidentdentTelegram de ZackXBT la chaîne , laissait entendre que le groupe pourrait se concentrer désormais sur les traders individuels intraday plutôt que sur les particuliers et les entreprises fortunés. 

Après le vol, environ 1 000 ETH ont été transférés vers Tornado Cash, un service de mixage de cryptomonnaies couramment utilisé pour masquer l'origine des actifs numériques volés. Ces actifs ont ensuite été rapidement liquidés sur le marché libre.

Adresses trac, Tornado Cash utilisé pour blanchir des fonds

La chaîne de ZachXBT a répertorié trois Ethereum liées au vol. Outre des soldes mineurs en jetons QBX, Blocklords, Astra Protocol et DAI, totalisant environ 1 340 $, l' adresse contenait plus de 40 ETH, soit environ 107 000 $ au cours actuel. On suppose que ces fonds provenaient en partie des profits de l'attaque informatique.

Le week-end dernier, seulement neuf transactions ont été effectuées via la seconde adresse, qui semblait nouvelle. Plus de 200 ETH ont été transférés vers l'adresse principale. Au moment de la publication de cet article, l'autre adresse crypto détenait environ 2,7 millions de dollars en DAI, soit la majeure partie des fonds volés.

Ce mode opératoire correspond aux conclusions d'une étude récente de TRM Labs, qui décrit en détail le réseau mondial d'organisations criminelles russes et de courtiers de gré à gré chinois que la Corée du Nord utilise pour blanchir ses profits illégaux.

Le rapport affirme que Lazarus fournit l'expertise technique, mais que ses partenaires fournissent les canaux permettant d'intégrer légitimement les fonds volés sur les marchés.

Le blanchiment d'argent se poursuit au deuxième trimestre 2025 

En avril, la société d'analyse blockchain SpotOnChain a rapporté qu'un portefeuille supposément lié à Lazarus avait revendu 40,78 Wrapped Bitcoin (WBTC) pour 3,51 millions de dollars. Ces Bitcoin, initialement achetés en février 2023 pour environ 999 900 dollars (alors que le WBTC s'échangeait à 24 521 dollars), ont été vendus à 83 459 dollars l'unité, soit un profit de 251 % en deux ans. 

Aujourd'hui, le groupe Lazarus (hackers nord-coréens) a vendu 40,78 $WBTC (3,51 millions de dollars) pour un profit de 2,51 millions de dollars (+251 %), après les avoir achetés il y a 2 ans.

Ils ont dépensé 999,9K $USDT pour acquérir le $WBTC à environ 24 521 $ en février 2023, et l'ont vendu pour 1 857 $ETH à environ 86 170 $ il y a seulement 12 heures.

Les hackers ensuite… pic.twitter.com/KYQmqnJnIC

— Spot On Chain (@spotonchain) 3 avril 2025

Les fonds ont été convertis en 1 847 ETH, puis répartis entre trois portefeuilles. La plus grosse tranche, soit 1 865 ETH, a été tracsur un autre portefeuille apparemment géré par le groupe. Au lieu de conserver les ETH convertis, Lazarus en a distribué 2 507 à plusieurs adresses.

Des pirates informatiques liés à la RPDC étaient également impliqués dans le piratage notoire de la plateforme d'échange de cryptomonnaies Bybit, qui a coûté 1,5 milliard de dollars. Après cette intrusion, le groupe aurait blanchi près de 500 000 ETH, soit environ 1,39 milliard de dollars, en effectuant plusieurs transactions en seulement dix jours. 

Le prix Bybit est de 49,9 $ pour ETH (13,9 $) pour 10 $

L'ETH s'élève à 23 % (de 2 780 $ à 2 130 $)

Le prix du THORChain est de 59 $ et celui de THORChain est de 550 $.万的手续费收入。

本文由 #Bitget｜@Bitget_zh 赞助 https://t.co/osoKNzFhkG pic.twitter.com/QUWuMmV6zH

– 余烬 (@EmberCN) 4 mars 2025

Au moins 605 millions de dollars ont transité par le protocole de liquidité décentralisé THORChain en une seule journée. Pourtant, la plateforme d'analyse blockchain Arkham Intelligence estime que les portefeuilles liés à Lazarus détiennent encore environ 1,1 milliard de dollars en réserves de cryptomonnaies, notamment d'importantes quantités de BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumet de Tether.

Le financement des ambitions nucléaires par la cybercriminalité

Les enquêteurs des Nations Unies chargés de surveiller le respect estiment que les profits tirés de ces cyberattaques sont détournés vers les programmes de développement d'armements de la Corée du Nord. Entre 2017 et 2023, le pays aurait utilisé des revenus issus des cryptomonnaies pour améliorer sa technologie de missiles, augmentant ainsi sa capacité à frapper des cibles bien au-delà de la péninsule coréenne.

Dans un rapport publié en décembre dernier, Chainalysis a confirmé que des pirates informatiques liés au régime ont volé plus de 1,3 milliard de dollars en cryptomonnaie en 2024 à travers 47dent.

«Les pirates informatiques liés à la Corée du Nord sont devenus tristement célèbres pour leurs techniques sophistiquées et implacables», indique l'analyse de Chainalysis, précisant que ces efforts servent à contourner les sanctions internationales et à financer les opérations illicites de l'État.