Yicong Wang, un trader OTC cinese, ricicla criptovalute rubate per il famigerato gruppo di hacker nordcoreano noto come Lazarus Group dal 2022.
Noto per aver utilizzato pseudonimi come Seawang, Greatdtrader e BestRhea977, Wang ha contribuito a convertire decine di milioni di dollari in criptovalute rubate in cash tramite bonifici bancari.
L'investigatore on-chain ZachXBT ha scoperto il coinvolgimento di Wang dopo che una vittima lo aveva contattato all'inizio dell'anno per segnalare che il suo account era stato congelato dopo aver completato una transazione P2P con il criminale. L'investigatore ha anche fornito a Zach un indirizzo di portafoglio TRON utilizzato da Wang, tratto da una conversazione su WeChat.
Il ruolo di Wang nel riciclaggio di criptovalute rubate
La ricerca di Zach ha rivelato che Yicong Wang ha facilitato il riciclaggio di fondi rubati tramite attacchi informatici legati a Lazarus, come quelli ai danni di Alex Labs, EasyFi, Bondly e del co-fondatore di Irys.
Nello specifico, un indirizzo controllato da Wang ha consolidato 17 milioni di dollari da questi attacchi informatici, con 374.000 USDT inseriti nella blacklist di Tether nel novembre 2023. Dopo questa blacklist, i fondi rimanenti sono stati rapidamente trasferiti a Tornado Cash, il famigerato mixer di criptovalute.
Tra novembre e dicembre 2023, 13 transazioni da 100 ETH ciascuna sono state ritirate e spostate su un diverso indirizzo Ethereum . Più tardi, a dicembre, 45.000 $ sono stati trasferiti su TRON, finendo infine nei wallet legati a Wang.
Nonostante i tentativi di Tether di inserire questi fondi nella lista nera, è riuscito a spostare il denaro in modo efficiente tramite servizi di cripto-mixing.
L'attacco di Lazarus ad Alex Labs nel maggio 2024 ha causato una perdita di 4,5 milioni di dollari. Poco dopo, uno degli indirizzi hackerati ha depositato 470 ETH in un protocollo di privacy.
Lo stesso importo è stato prelevato e trasferito a due nuovi indirizzi nel giro di poche ore. Altri 449 ETH hanno seguito lo stesso schema tra il 27 e il 28 giugno di quest'anno, finendo sui conti di Wang.
Più criptovalute rubate e riciclate
A luglio, Lazarus Group ha lanciato un altro attacco, questa volta prendendo di mira il co-fondatore di Irys. Hanno utilizzato una campagna email di spear-phishing per rubare 1,3 milioni di dollari in criptovalute. Gli ETH rubati hanno seguito lo stesso percorso di prima, con Wang che ha facilitato il processo di riciclaggio.
Il 31 luglio, i 70,8 ETH rubati sono stati depositati in un protocollo di riservatezza, seguiti da altri 338 ETH. Anche in questo caso, questi fondi sono stati inviati a più indirizzi prima di finire nei wallet TRON di Wang.
Entro il 13 agosto, Wang aveva riciclato altri 1,5 milioni di dollari USDT dagli attacchi informatici del Lazarus Group. Durante questo periodo, i fondi sono stati trasferiti da Ethereum a TRON, collegandosi direttamente ai suoi conti.
Le indagini su queste transazioni hanno dimostrato che un indirizzo Ethereum inserito nella blacklist di Tether ad agosto, contenente 948.000 USDT, era anch'esso collegato a Wang.
Prima di essere inserito nella lista nera, 746.000 USDT sono stati trasferiti a uno dei suoi indirizzi. Wang non si è fermato nemmeno dopo essere stato bandito da importanti piattaforme come Paxful e Noones per riciclaggio di denaro.
Nonostante i suoi conti sotto pseudonimo fossero stati chiusi, Wang continuò a effettuare transazioni fuori sede, aiutando il Lazarus Group a riciclare fondi.
La minaccia continua di Lazarus al settore delle criptovalute
Al 23 ottobre 2024, Lazarus Group rimane una delle minacce più pericolose per il settore delle criptovalute. Continua a eseguire attacchi informatici di alto profilo, prendendo di mira piattaforme centralizzate e decentralizzate.
I loro metodi sono diventati sempre più sofisticati, utilizzando campagne di ingegneria sociale come "Eager Crypto Beavers" per indurre i professionisti della blockchain a scaricare malware. Questo malware rubadente accesso ai portafogli crittografici, rendendo più facile per Lazarus prosciugare i fondi.
Solo nel 2024, il gruppo di hacker è stato responsabile di numerosi attacchi informatici di vasta portata. A luglio, hanno violato l'exchange di criptovalute indiano WazirX, causando perdite per oltre 235 milioni di dollari.
Hanno preso di mira anche piattaforme centralizzate come Stake.com, che ha perso 41 milioni di dollari a settembre 2023, e Deribit, che ha subito una perdita di 28 milioni di dollari a novembre 2022.
Sebbene le forze dell'ordine abbiano compiuto alcuni progressi, recuperare i fondi rubati è stato difficile. Il Dipartimento di Giustizia degli Stati Uniti (DOJ) sta lavorando attivamente per trace recuperare le criptovalute rubate da Lazarus, ma i metodi di riciclaggio del gruppo rendono il tutto difficile.
All'inizio di questo mese, il Dipartimento di Giustizia ha intentato cause legali per recuperare oltre 2,67 milioni di dollari in asset digitali rubati legati agli attacchi informatici a Deribit e Stake.com. Ma queste azioni rappresentano solo una frazione dell'importo totale rubato da Lazarus.
