Le groupe Lazarus finance l'intégralité du programme nucléaire nord-coréen grâce à des cryptomonnaies volées

Le programme nucléaire nord-coréen n'est pas financé par le charbon ni par les impôts, mais par des cryptomonnaies volées. Le 18 juillet 2024, le groupe Lazarus, unité de piratage informatique de premier plan du gouvernement nord-coréen, a pénétré le système de WazirX, la plus importante plateforme d'échange de cryptomonnaies en Inde.

En un peu plus d'une heure, ils ont disparu avec plus de 200 millions de dollars, agissant à une vitesse fulgurante, hors de portée de toute intervention humaine. Leur opération était d'une précision militaire. Le braquage de WazirX est l'une des nombreuses opérations directement liées à Lazarus.

Avec plus de 6 milliards de dollars volés au cours des dix dernières années, ce groupe est devenu le voleur de cryptomonnaies le plus dangereux au monde et, selon un article du Wall Street Journal, ses activités contribuent à maintenir le régime de Kim Jong Un en place et financent un programme nucléaire qui se poursuit malgré de lourdes sanctions internationales.

Lazarus est composé des personnes les plus brillantes de Corée du Nord

Benedict Hamilton, directeur général de Kroll, la société qui aide WazirX tracle vol, a déclaré que la rapidité et l'automatisation de l'équipe suggèrent que les fonds ont probablement déjà été convertis en cash.

Ayant perdu près de la moitié de ses actifs, la plateforme a dû fermer ses portes. Un porte-parole de WazirX aurait déclaré qu'ils s'efforçaient de récupérer les fonds des utilisateurs et de relancer la plateforme au plus vite.

Les meilleurs éléments de Pyongyang sont intégrés à Lazarus et prennent leur temps. Ils passent des mois, voire des années, à repérer les cibles, à créer de faux profils et à guetter la moindre opportunité.

Pour s'introduire dans les systèmes de l'entreprise, ils consultent les pages Instagram, LinkedIn et Facebook des employés, puis élaborent des arnaques personnalisées pour les inciter à cliquer sur des liens infectés.

Certains membres de Lazarus vont jusqu'à postuler à des emplois à distance dans des entreprises technologiques américaines en utilisant de faussesdent, en réussissant les entretiens et en s'infiltrant dans les systèmes pour obtenir un accès. Ces opérations sont soutenues par des États et menées comme des campagnes militaires.

Le vol de cryptomonnaies est la seule activité lucrative de la Corée du Nord

En février, Lazarus a réalisé son plus gros vol à ce jour : 1,5 milliard de dollars chez Bybit, l’une des plus importantes plateformes d’échange de cryptomonnaies au monde. Rien qu’en 2024, la Corée du Nord était responsable de plus de 6 dollars sur 10 volés dans l’ensemble du secteur des cryptomonnaies, selon tracde Chainalysis.

on compte plus de 8 000 pirates informatiques à temps plein, organisés en groupes de type militaire et appuyés par des dizaines de services plus petits. Selon le Journal,

Les enfants qui montrent des aptitudes en mathématiques ou en sciences seraient recrutés très tôt et formés. Ils n'ont pas d'emploi à temps partiel. Ils se consacrent au piratage informatique à plein temps.

La plupart d'entre eux vivent mieux que les autres citoyens. Mais ils subissent aussi une pression constante. Elma Duval, co-auteure d'un rapport de PScore, un groupe de défense des droits basé à Séoul, a interrogé d'anciens informaticiens qui ont déclaré que les hackers sont punis physiquement en cas d'échec.

Kim Jong Il, le défunt dictateur, avait déclaré que les guerres futures se feraient avec des ordinateurs, et sous le régime de son fils, cette vision est devenue une stratégie nationale.

Face à l'effondrement des sources de revenus traditionnelles telles que les ventes d'armes, le trafic de charbon et le recours à la main-d'œuvre étrangère, dû aux sanctions internationales, la Corée du Nord a dû trouver de nouvelles sources de financement. Ses services de renseignement estiment que le pays a besoin d'environ 6 milliards de dollars par an, dont plusieurs centaines de millions pour son arsenal nucléaire.

Le vol de cryptomonnaies est rapide, peu coûteux et difficile à trac. Pyongyang n'a jamais revendiqué publiquement aucune de ces attaques. Cependant, des responsables américains ont déclaré que Lazarus laisse régulièrement des logiciels malveillantsdent, ainsi que des portefeuilles réutilisés lors de piratages précédents.

Même s'ils tentent de disparaître, leurs traces restent toujours visibles. Il s'agit du même groupe que les agences américaines ont accusé du piratage de Sony en 2014, du vol de fonds à la banque centrale du Bangladesh en 2016 et de l'attaque par rançongiciel WannaCry en 2017.

Lazarus cible désormais les ETF crypto et les demandeurs d'emploi

En septembre, le FBI a tiré la sonnette d'alarme, indiquant que Lazarus s'intéressait à des entreprises liées aux fonds négociés en bourse (ETF) de cryptomonnaies. Ce segment de marché a enregistré 37 milliards de dollars d'afflux de capitaux l'an dernier seulement, avec des investissements dans des fonds proposés par BlackRock, Fidelity et d'autres sociétés. Les pirates utilisaient des courriels infectés par des logiciels malveillants, personnalisés pour chaque victime.

En décembre, un tribunal américain a inculpé 14 Nord-Coréens pour usurpation d'dentaméricaine et obtention d'emplois dans des entreprises technologiques et des organisations à but non lucratif américaines. Ces membres de Lazarus, se faisant appeler « guerriers de l'informatique », ont empoché 88 millions de dollars de salaires, intégralement rapatriés en Corée du Nord. Ces emplois leur donnaient un accès direct aux systèmes et aux données des entreprises.

Plusieurs entreprises du secteur des cryptomonnaies ont confirmé avoir été victimes de candidatures frauduleuses. Ben Turner, responsable de l'ingénierie chez Cloudburst Technologies, une société spécialisée dans le renseignement sur les cryptomonnaies, a déclaré : « Nous avons l'impression que les pirates informatiques nord-coréens sont de plus en plus présents autour de nous. » Son équipe a constaté une nette augmentation des candidatures suspectes.