Yicong Wang, um operador de mercado OTC chinês, lava criptomoedas roubadas para o notório grupo de hackers norte-coreano conhecido como Grupo Lazarus desde 2022.
Conhecido por usar pseudônimos como Seawang, Greatdtrader e BestRhea977, Wang ajudou a converter dezenas de milhões de dólares em criptomoedas roubadas em cash por meio de transferências bancárias.
O investigador on-chain ZachXBT expôs o envolvimento de Wang depois que uma vítima entrou em contato no início do ano para relatar que sua conta havia sido congelada após concluir uma transação P2P com o criminoso. A vítima também forneceu a Zach um endereço de carteira TRON usado por Wang, obtido em uma conversa do WeChat.
O papel de Wang na lavagem de criptomoedas roubadas
A pesquisa de Zach revelou que Yicong Wang facilitou a lavagem de fundos roubados de ataques cibernéticos relacionados ao Lazarus, como os sofridos pela Alex Labs, EasyFi, Bondly e pelo cofundador da Irys.
Especificamente, um endereço controlado por Wang consolidou US$ 17 milhões provenientes desses ataques, com US$ 374 mil em USDT incluídos na lista negra da Tether em novembro de 2023. Após esse bloqueio, os fundos restantes foram rapidamente transferidos para a Tornado Cash, a infame plataforma de mistura de criptomoedas.
Entre novembro e dezembro de 2023, 13 transações de 100 ETH cada foram retiradas e transferidas para um endereço Ethereum diferente. Posteriormente, em dezembro, US$ 45 mil foram transferidos para a TRON, chegando eventualmente a carteiras vinculadas a Wang.
Apesar das tentativas da Tether de incluir esses fundos em listas negras, ele movimentou o dinheiro de forma eficiente por meio de serviços de mistura de criptomoedas.
O ataque do grupo Lazarus à Alex Labs em maio de 2024 resultou em um prejuízo de US$ 4,5 milhões. Pouco depois, um dos endereços hackeados depositou 470 ETH em um protocolo de privacidade.
A mesma quantia foi retirada e transferida para dois novos endereços em questão de horas. Outros 449 ETH seguiram o mesmo padrão entre 27 e 28 de junho deste ano e foram parar nas contas de Wang.
Mais criptomoedas roubadas e lavadas
Em julho, o Lazarus Group lançou outro ataque, desta vez visando o cofundador da Irys. Eles usaram uma campanha de e-mail de spear-phishing para roubar US$ 1,3 milhão em criptomoedas. O ETH roubado seguiu a mesma rota de antes, com Wang facilitando o processo de lavagem.
Em 31 de julho, os 70,8 ETH roubados foram depositados em um protocolo de privacidade, seguidos por outros 338 ETH. Novamente, esses fundos foram enviados para vários endereços antes de chegarem às carteiras TRON de Wang.
Até 13 de agosto, Wang havia lavado mais US$ 1,5 milhão em USDT provenientes dos ataques do Lazarus Group. Durante esse período, os fundos foram transferidos da Ethereum para TRON, sendo vinculados diretamente às suas contas.
Investigações sobre essas transações mostraram que um endereço Ethereum , incluído na lista negra da Tether em agosto e contendo 948 mil USDT, também estava ligado a Wang.
Antes de ser incluído na lista negra, 746 mil USDT foram transferidos para um de seus endereços. Wang não parou mesmo depois de ser banido de grandes plataformas como Paxful e Noones por lavagem de dinheiro.
Embora suas contas sob os pseudônimos tivessem sido encerradas, Wang continuou realizando transações fora da plataforma, auxiliando o Grupo Lazarus na lavagem de dinheiro.
A ameaça constante de Lazarus para a indústria de criptomoedas
Em 23 de outubro de 2024, o Lazarus Group continuava sendo uma das ameaças mais perigosas para a indústria de criptomoedas. Eles seguiam realizando ataques de grande repercussão, visando plataformas centralizadas e descentralizadas.
Seus métodos se tornaram cada vez mais sofisticados, utilizando campanhas de engenharia social como a "Eager Crypto Beavers" para enganar profissionais de blockchain e levá-los a baixar malware. Esse malware roubadente acesso a carteiras de criptomoedas, facilitando o desvio de fundos por parte da Lazarus.
Só em 2024, o grupo de hackers foi responsável por diversos ataques cibernéticos de grande porte. Em julho, eles invadiram a corretora de criptomoedas indiana WazirX, causando prejuízos de mais de US$ 235 milhões.
Eles também visaram plataformas centralizadas como a Stake.com, que perdeu US$ 41 milhões em setembro de 2023, e a Deribit, que sofreu uma perda de US$ 28 milhões em novembro de 2022.
Embora as autoridades tenham feito alguns progressos, a recuperação dos fundos roubados tem sido um desafio. O Departamento de Justiça dos EUA (DOJ) está trabalhando ativamente para trace recuperar as criptomoedas roubadas pelo grupo Lazarus, mas os métodos de lavagem de dinheiro utilizados pelo grupo dificultam essa tarefa.
No início deste mês, o Departamento de Justiça dos EUA entrou com ações judiciais para recuperar mais de US$ 2,67 milhões em ativos digitais roubados, relacionados aos ataques cibernéticos à Deribit e à Stake.com. Mas esses esforços representam apenas uma fração do valor total roubado pelo grupo Lazarus.
