Il gruppo Lazarus colpisce ancora con una rapina da 3,2 milioni di dollari Solana

Gli investigatori del settore delle criptovalute lanciano l'allarme dopo che il 16 maggio 2025 sono stati sottratti 3,2 milioni di dollari da diversi Solana , un'operazione che, a loro dire, presenta i tratti distintivi del gruppo Lazarus, legato alla Corea del Nord. I beni rubati sono stati rapidamente venduti on-chain e trasferiti su Ethereum prima che una parte di essi venisse riciclata tramite Tornado Cash.

della vittima Solana sono stati svuotati dei token e i beni sono stati successivamente convertiti in Ethereum tramite un bridge, prima che una parte di essi venisse depositata su Tornado Cash.

Il ricercatore di blockchain ZachXBT ha segnalato pubblicamente l'exploit, tracciando parallelismi con le precedenti attività di Lazarus.

Gli hacker hanno collegato i fondi rubati

Gli esperti di blockchain hanno lanciato l'allarme dopo aver osservato ingenti trasferimenti dall'indirizzo "C4WY…e525" su Solana.

Queste transazioni, collegate al famigerato Lazarus Group, prevedevano lo spostamento dei token rubati attraverso un ponte e la loro conversione in Ethereum. ZachXBT ha segnalato l'attacco monitorando l'attività del ponte e traci fondi che alla fine sono finiti in una rete di portafogli su Ethereum.

Il 25 giugno e di nuovo il 27 giugno, 400 ETH sono stati inviati a Tornado Cash in due depositi separati. Queste transazioni da 800 ETH, per un totale di circa 1,6 milioni di dollari, sono in linea con le ben documentate tattiche di riciclaggio di denaro del gruppo Lazarus

A seguito di attacchi hacker di alto profilo come quello a Bybit, dove nel febbraio 2025 furono rubati 1,5 miliardi di dollari, e quello al bridge Horizon di Harmony, nel 2022, tra gli altri attacchi degni di nota, Lazarus ha ripetutamente utilizzato Tornado Cash, insieme a exchange decentralizzati e bridge cross-chain, per riciclare fondi oscurando le tracce delle transazioni.

Circa 1,25 milioni di dollari sono ancora depositati in un portafoglio identificatodent"0xa5…d528" su Ethereum, in una combinazione di DAI ed ETH. Gli analisti ipotizzano che questi fondi possano essere stati accantonati per futuri riciclaggi di denaro o tenuti intenzionalmente inattivi per ridurre il rischio di essere scoperti.

Il Gruppo Lazarus è attivo dal 2017

Il gruppo Lazarus si è guadagnato la reputazione di organizzazione criminale informatica più prolifica legata a uno stato, con le sanzioni imposte alla Corea del Nord che lo designano come una minaccia persistente avanzata connessa alle unità di intelligence militare d'élite di Pyongyang. Nel corso degli anni, dal 2017, hanno rubato miliardi di dollari in criptovalute.

Il loro modus operandi spesso inizia con l'infiltrazione di personale chiave tramite phishing o malware, sfruttando falle negli smarttraco vulnerabilità dei wallet. Una volta ottenuti i fondi, questi vengono rapidamente convertiti in asset liquidi, suddivisi in più wallet e riciclati attraverso catene utilizzando mixer come Tornado Cash e servizi che forniscono swap istantanei senza requisiti Know Your Customer (KYC).

Tornado Cash rimane un elemento centrale della strategia di riciclaggio di denaro di Lazarus. Nonostante le sanzioni statunitensi imposte nel 2022, l'hosting decentralizzato e l'immutabilità hanno permesso al servizio di evitare una chiusura definitiva. Nel gennaio 2025, una corte d'appello statunitense ha annullato tali sanzioni, citando considerazioni sulla libertà di parola, nonostante le crescenti prove che collegavano Lazarus al continuo utilizzo di mixer.

Le autorità di regolamentazione e gli exchange potrebbero ora adottare misure per contrassegnare gli indirizzi segnalati come sospetti. Tuttavia, data la velocità e la complessità del processo di riciclaggio di Lazarus, i servizi di mixing continuano a rivelarsi sufficienti per nascondere il movimento dei fondi rubati.