Il gruppo nordcoreano Lazarus inizia ad hackerare singoli investitori, un trader perde oltre 5,2 milioni di dollari in criptovalute

Secondo l'investigatore blockchain ZackXBT, il gruppo nordcoreano Lazarus è stato collegato a un attacco informatico che ha rubato oltre 5,2 milioni di dollari a un trader di criptovalute il 24 maggio. Il furto è avvenuto tramite un sofisticato attacco malware, con fondi sottratti da diverse tipologie di wallet, tra cui multisig, account di proprietà esterna (EOA) e wallet di exchange. 

L'episodiodentTelegram di ZackXBT canale , lascia intendere che il gruppo potrebbe star spostando la propria attenzione da individui e aziende con patrimoni elevati a trader individuali che operano nel trading intraday. 

Dopo il furto, circa 1.000 ETH sono stati convogliati su Tornado Cash, un servizio di cripto-mixing comunemente utilizzato per occultare l'origine degli asset digitali rubati. Gli asset rubati sono stati poi prontamente liquidati sul mercato libero.

Indirizzi trac, Tornado Cash utilizzato per riciclare fondi

Il canale di ZachXBT ha elencato tre Ethereum collegati al furto. Oltre a piccole quantità di token QBX, Blocklords, Astra Protocol e DAI per un totale di circa 1.340 dollari, l' indirizzo conteneva più di 40 ETH, pari a circa 107.000 dollari al valore di mercato attuale. Si ritiene che questi fondi facessero parte dei profitti derivanti dall'attacco malware.

Lo scorso fine settimana, sono state elaborate solo nove transazioni utilizzando il secondo indirizzo, che sembrava essere nuovo. Ha inviato più di 200 ETH all'indirizzo principale. Infine, al momento della pubblicazione di questa notizia, l'altro indirizzo crittografico conteneva circa 2,7 milioni di dollari in DAI, che rappresentavano la maggior parte dei fondi rubati.

Questo modello di comportamento è coerente con quanto scoperto in un recente studio di TRM Labs, che descrive nel dettaglio la rete mondiale di organizzazioni criminali russe e di broker cinesi over-the-counter che la Corea del Nord utilizza per riciclare i suoi profitti illeciti.

Il rapporto sostiene che Lazarus fornisce la competenza tecnica, ma i suoi partner forniscono i canali per integrare legittimamente i fondi rubati nei mercati.

Il riciclaggio di denaro continua nel secondo trimestre del 2025 

Ad aprile, la società di analisi blockchain SpotOnChain ha riferito che un portafoglio ritenuto associato a Lazarus ha venduto 40,78 Wrapped Bitcoin (WBTC) per 3,51 milioni di dollari. Il Bitcoin, originariamente acquistato a febbraio 2023 per circa 999.900 dollari, quando WBTC veniva scambiato a 24.521 dollari, è stato venduto a 83.459 dollari a moneta, con un profitto del 251% in due anni. 

Oggi, il gruppo Lazarus (hacker nordcoreani) ha venduto 40,78 $WBTC (3,51 milioni di dollari) realizzando un profitto di 2,51 milioni di dollari (+251%), dopo averli acquistati due anni fa.

Hanno speso 999,9K $USDT per acquisire $WBTC a circa $24.521 a febbraio 2023 e lo hanno venduto per 1.857 $ETH a circa $86.170 solo 12 ore fa.

Gli hacker poi… pic.twitter.com/KYQmqnJnIC

— Spot On Chain (@spotonchain) 3 aprile 2025

Il ricavato è stato convertito in 1.847 ETH e successivamente suddiviso tra tre wallet. La tranche più consistente, pari a 1.865 ETH, è stata traca un altro wallet, presumibilmente gestito dal gruppo. Invece di detenere gli ETH convertiti, Lazarus ha distribuito 2.507 ETH su più indirizzi.

Gli hacker legati alla RPDC sono stati anche coinvolti nel famigerato attacco informatico da 1,5 miliardi di dollari sull'exchange di criptovalute Bybit. A seguito della violazione, il gruppo avrebbe riciclato quasi 500.000 ETH, equivalenti a circa 1,39 miliardi di dollari, attraverso diverse transazioni in soli dieci giorni. 

Il valore di Bybit è di 49,9 dollari per ETH ($ 13,9) e vale 10 anni

ETH ha guadagnato il 23% (da $ 2.780 a $ 2.130)

Acquistare un prodotto THORChain per un acquisto $59 per un acquisto $550万的手续费收入

本文由 #Bitget｜@Bitget_zh 赞助 https://t.co/osoKNzFhkG pic.twitter.com/QUWuMmV6zH

– 余烬 (@EmberCN) 4 marzo 2025

Almeno 605 milioni di dollari sono stati convogliati attraverso il protocollo di liquidità decentralizzato THORChain in un solo giorno. Ciononostante, la piattaforma di intelligence blockchain Arkham Intelligence stima che i wallet collegati a Lazarus detengano ancora circa 1,1 miliardi di dollari in riserve di criptovalute, incluse partecipazioni significative in BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereume Tether.

La criminalità informatica finanzia le ambizioni nucleari

Gli investigatori delle Nazioni Unite che monitorano il rispetto ritengono che i proventi di questi attacchi informatici vengano dirottati verso i programmi di sviluppo di armamenti della Corea del Nord. Tra il 2017 e il 2023, il Paese avrebbe utilizzato flussi di entrate basati sulle criptovalute per migliorare la sua tecnologia missilistica, aumentando la sua capacità di colpire obiettivi ben oltre la penisola coreana.

In un rapporto pubblicato lo scorso dicembre, Chainalysis ha confermato che gli hacker collegati al regime hanno rubato oltre 1,3 miliardi di dollari in criptovalute nel 2024 in 47dent.

"Gli hacker legati alla Corea del Nord sono diventati famigerati per le loro tecniche sofisticate e implacabili", si legge nell'analisi di Chainalysis, che sottolinea come questi sforzi vengano utilizzati per aggirare le sanzioni internazionali e finanziare le operazioni illecite dello Stato.