La Corée du Nord vient de se hisser à la troisième place des gouvernements détenant Bitcoin après un vol de cryptomonnaies d'une valeur de 1,4 milliard de dollars. Le 21 février, des pirates informatiques du groupe Lazarus, une organisation de cybercriminalité soutenue par Pyongyang, ont infiltré Bybit, l'une des plus importantes plateformes d'échange de cryptomonnaies au monde, et ont dérobé principalement Ethereum.
Peu après, le groupe a converti une grande partie des fonds volés en Bitcoin, portant le total des avoirs de la Corée du Nord à 13 562 BTC, soit 1,14 milliard de dollars.
Les États-Unis, qui ont récemment lancé leur Réserve stratégique Bitcoin (SBR), demeurent le plus important détenteur Bitcoin par un gouvernement avec 198 109 BTC, d'une valeur de 16,71 milliards de dollars. Le Royaume-Uni suit avec 61 245 BTC, soit 5,17 milliards de dollars. La Corée du Nord se place désormais devant le Bhoutan, qui détient 10 635 BTC (897,6 millions de dollars), et le Salvador, qui possède 6 117 BTC (516,11 millions de dollars).
Cette hausse soudaine des avoirs est survenue quelques jours seulement avant que ledent Donald Trump ne signe un décret le 6 mars, établissant officiellement le SBR, alimentant les spéculations sur les motivations de la Corée du Nord dans la course mondiale aux cryptomonnaies.
Le groupe Lazarus cashdes fonds volés malgré la répression internationale
La fortune Bitcoin de la Corée du Nord ne dort pas seulement dans un portefeuille. Des entreprises tracde la blockchain indiquent que 300 millions de dollars provenant du piratage de Bybit ont déjà été cash, malgré les efforts internationaux pour geler les fonds.
« Chaque minute compte pour les pirates informatiques qui tentent de brouiller les pistes financières, et leurs méthodes sont extrêmement sophistiquées », a déclaré Tom Robinson, cofondateur d'Elliptic, une entreprise trac des flux illicites de cryptomonnaies. Les actifs volés transitent par un processus de blanchiment complexe, et des experts avertissent que cet argent finance les programmes nucléaires et militaires de la Corée du Nord.
Le groupe Lazarus a également étendu ses activités de cybercriminalité. Ces derniers mois, des chercheurs ont découvert que les pirates avaient compromis npm, un gestionnaire de paquets très répandu chez les développeurs JavaScript.
En utilisant des techniques de typosquatting, Lazarus a inséré des versions malveillantes de logiciels largement utilisés, incitant ainsi les développeurs à télécharger du code infecté par un logiciel malveillant. Les paquets corrompus, notamment is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency et auth-validator, injectaient le logiciel malveillant BeaverTail lors de leur exécution.
BeaverTailtraclesdentde connexion, analyse les fichiers du navigateur à la recherche de mots de passe enregistrés et vide les portefeuilles de cryptomonnaies tels que Solana et Exodus. « Ce logiciel malveillant représente une menace directe pour les développeurs d'applications financières et blockchain », a déclaré Kirill Boychenko, analyste en renseignement sur les menaces chez Socket Security. Le logiciel malveillant transmet secrètement les données volées à des serveurs contrôlés par Lazarus, une tactique que ce groupe de pirates utilise depuis des années pour rester indétectable.
OKX fait l'objet d'un examen minutieux pour blanchiment de fonds de Lazarus, tandis que Bybit gèle ses actifs
Les autorités de régulation européennes enquêtent sur OKX, l'une des plus importantes plateformes d'échange de cryptomonnaies, soupçonnée d'avoir servi à blanchir 100 millions de dollars liés au piratage de Bybit. Le 6 mars, des représentants des 27 États membres de l'Union européenne se sont réunis sous l'égide de l'Autorité européenne des marchés financiers (ESMA) afin de déterminer si la plateforme Web3 d'OKX relève du cadre réglementaire des marchés de crypto-actifs (MiCA).
Les autorités affirment que les pirates informatiques de Lazarus ont utilisé le portefeuille autogéré et le service de trading décentralisé d'OKX pour traiter les fonds volés, et si OKX est reconnu coupable, il pourrait se voir infliger de lourdes sanctions.
Parallèlement, Bybit et d'autres plateformes d'échange gèlent activement les fonds piratés, mais toutes ne coopèrent pas. La plateforme eXch aurait notamment permis à Lazarus d' cash plus de 90 millions de dollars avant d'intervenir. Les dirigeants de Bybit accusent Johann Roberts, propriétaire d'eXch, de retarder délibérément le gel des avoirs.
Roberts nie toute malversation. « Nous n'avons pas immédiatement bloqué les fonds car nous étions en conflit de longue date avec Bybit et nous n'étions pas certains que les fonds provenaient du piratage », a-t-il déclaré dans un communiqué envoyé par courriel. Il a confirmé par la suite qu'eXch coopérait désormais, mais a critiqué les mesures de répression réglementaires, arguant qu'elles menaçaient la confidentialité et l'anonymat dans le secteur des cryptomonnaies.
Les États-Unis et leurs alliés continuent d'imputer à la Corée du Nord des dizaines de piratages de cryptomonnaies survenus au cours de la dernière décennie, pointant du doigt la dépendance de Pyongyang aux cryptomonnaies volées pour contourner les sanctions économiques. Le groupe Lazarus s'est initialement concentré sur le piratage des banques, mais au cours des cinq dernières années, il a entièrement recentré son activité sur les plateformes d'échange de cryptomonnaies, ciblant les plateformes centralisées, les protocoles DeFi et les développeurs de blockchain.
