
Analyse des hackers nord-coréens, des groupes de phishing et des outils de blanchiment d'argent dans l'interprétation du rapport
TechFlow SélectionTechFlow Sélection

Analyse des hackers nord-coréens, des groupes de phishing et des outils de blanchiment d'argent dans l'interprétation du rapport
Cet article présente les activités du groupe de hackers nord-coréen Lazarus Group en 2023, en analysant et résumant leurs mouvements et méthodes de blanchiment d'argent, établit un profil détaillé du groupe, puis introduit les outils couramment utilisés par les hackers pour blanchir de l'argent.
Rédaction : Équipe de sécurité SlowMist
Dans notre précédent article, nous avons analysé la sécurité de la blockchain en 2023. Ce nouvel article se concentre sur les activités du groupe nord-coréen de hackers Lazarus Group, des principales équipes de phishing et certains outils de blanchiment d'argent au cours de l'année 2023.
Lazarus Group
Activités en 2023
Selon les informations publiques disponibles en 2023, aucune attaque majeure de vol de cryptomonnaie n'avait été attribuée au groupe nord-coréen de hackers Lazarus Group avant juin. D'après l'analyse des activités en chaîne, Lazarus Group était principalement occupé à blanchir les fonds cryptos dérobés en 2022, notamment environ 100 millions de dollars provenant de l'attaque subie par le pont cross-chain Harmony le 23 juin 2022.
Les faits ultérieurs ont révélé que, tout en blanchissant les fonds volés en 2022, le groupe Lazarus n'était pas resté inactif. Ce groupe de hackers a mené dans l'ombre des campagnes d'attaques APT (Advanced Persistent Threat). Ces opérations ont directement conduit à une « période noire de 101 jours » pour l'industrie des cryptomonnaies, débutant le 3 juin.
Durant ces « 101 jours noirs », cinq plateformes ont été piratées, entraînant un montant total de vols supérieur à 300 millions de dollars, dont la plupart étaient des plateformes centralisées.

Vers le 12 septembre, SlowMist et ses partenaires ont détecté une campagne massive d'attaques APT orchestrée par le groupe Lazarus contre l'industrie des cryptomonnaies. La méthode d’attaque consistait d'abord à usurper une identité, à passer avec succès une vérification d'identité réelle pour devenir un client authentique, puis à effectuer un dépôt réel. Sous couvert de cette identité légitime, les attaquants envoyaient ensuite précisément des chevaux de Troie personnalisés Mac ou Windows à des membres officiels lors de diverses communications, obtenaient ainsi des accès, progressaient latéralement dans le réseau interne, s'y maintenaient durablement, et finissaient par dérober des fonds.

Le FBI américain suit également de près les grands vols dans l'écosystème des cryptomonnaies et a publiquement attribué plusieurs incidents au groupe nord-coréen Lazarus Group. Voici quelques communiqués du FBI concernant Lazarus Group publiés en 2023 :
-
Le 23 janvier, le FBI a confirmé (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) que Lazarus Group était responsable du piratage d'Harmony Hack.
-
Le 22 août, le FBI a publié un avis (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk), affirmant que le groupe nord-coréen avait attaqué Atomic Wallet, Alphapo et CoinsPaid, volant au total 197 millions de dollars de cryptomonnaies.
-
Le 6 septembre, le FBI a publié un communiqué (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk), confirmant que Lazarus Group était responsable du vol de 41 millions de dollars sur la plateforme de jeu Stake.com.
Analyse des méthodes de blanchiment
D'après nos analyses, les méthodes de blanchiment utilisées par Lazarus Group évoluent continuellement, de nouvelles techniques apparaissant régulièrement. Le tableau ci-dessous présente l'évolution chronologique de ces méthodes :

Analyse du profil du groupe
Grâce au soutien important de partenaires du réseau d'intelligence InMist, l'équipe AML de SlowMist a suivi et analysé les données liées aux incidents de vol et au groupe de hackers Lazarus, permettant de dresser partiellement le profil de ce groupe :
-
Utilisation fréquente d'identités européennes ou turques comme couverture.
-
Des dizaines d'adresses IP, une dizaine d'adresses e-mail et certaines informations d'identité désensibilisées ont été recueillies :
-
111.*.*.49
-
103.*.*.162
-
103.*.*.205
-
210.*.*.9
-
103.*.*.29
-
103.*.*.163
-
154.*.*.10
-
185.*.*.217
Wallet Drainers
Note : Cette section a été rédigée par Scam Sniffer. Merci à eux.
Aperçu général
Les Wallet Drainers sont des logiciels malveillants liés aux cryptomonnaies qui ont connu un « succès » significatif au cours de l'année écoulée. Déployés sur des sites de phishing, ils trompent les utilisateurs afin qu'ils signent des transactions malveillantes, leur permettant ainsi de voler les actifs présents dans leurs portefeuilles. Ces attaques prennent diverses formes et ciblent constamment les utilisateurs ordinaires, causant de lourdes pertes financières à de nombreuses personnes inconscientes de signer ces transactions.
Statistiques des vols

Au cours de l'année dernière, Scam Sniffer a observé que les Wallet Drainers avaient dérobé près de 295 millions de dollars à environ 320 000 victimes.
Tendances des vols

À noter que près de 7 millions de dollars ont été volés le 11 mars. Cela s'explique majoritairement par une fluctuation du taux de change de l'USDC, provoquant des attaques via de faux sites Circle. De nombreux vols ont également eu lieu vers le 24 mars, suite au piratage du Discord d'Arbitrum et à la distribution prévue d'airdrops.
Chaque pic coïncide avec un événement collectif, tel qu’un airdrop ou un piratage.
Wallet Drainers notables

Après que ZachXBT ait exposé Monkey Drainer, ce dernier a annoncé son retrait après six mois d'activité, et Venom a repris la majorité de ses clients. Ensuite, MS, Inferno, Angel et Pink sont apparus vers mars. Lorsque Venom a cessé ses services vers avril, la plupart des groupes de phishing se sont tournés vers d'autres prestataires. Avec des frais de drainer fixés à 20 %, ces groupes ont généré au moins 47 millions de dollars grâce à la vente de leurs services.
Tendances des Wallet Drainers

L’analyse des tendances montre que les activités de phishing croissent continuellement. À chaque retrait d'un Drainer, un nouveau prend sa place. Par exemple, après l'annonce du retrait d'Inferno, Angel semble être devenu le successeur principal.
Comment lancent-ils leurs campagnes de phishing ?

Les sites de phishing obtiennent du trafic selon plusieurs méthodes principales :
-
Piratages informatiques
-
Compromission des comptes Discord ou Twitter de projets officiels
-
Attaque du frontend d'un projet officiel ou de bibliothèques utilisées
-
Trafic naturel
-
Airdrops de NFT ou de jetons
-
Occupation de liens Discord expirés
-
Spams et commentaires sur Twitter
-
Trafic payant
-
Publicités Google Search
-
Publicités Twitter
Bien que les piratages aient un impact étendu, la communauté réagit généralement rapidement, agissant souvent en 10 à 50 minutes. En revanche, les méthodes basées sur les airdrops, le trafic naturel, les publicités payantes ou l'occupation de liens Discord expirés sont plus discrètes. Sans oublier les tentatives de phishing ciblées via messages privés.
Signatures de phishing courantes

Différents types d’actifs font l’objet de méthodes spécifiques de signatures malveillantes. Ci-dessus figurent quelques exemples typiques selon le type d’actif. Les Drainers choisissent la signature malveillante en fonction des actifs présents dans le portefeuille de la victime.
Par exemple, dans le cas du vol de jetons Reward LP via la fonction signalTransfer de GMX, on observe une exploitation très sophistiquée ciblant des actifs spécifiques.
Utilisation accrue de contrats intelligents
1) Multicall

Depuis Inferno, ces groupes consacrent davantage de ressources à l’utilisation des contrats intelligents. Par exemple, les frais Split nécessitent deux transactions distinctes, mais si la deuxième est trop lente, la victime peut annuler l’autorisation. Pour améliorer l’efficacité, ils utilisent désormais Multicall pour transférer les actifs plus rapidement.
2) CREATE2 & CREATE

Pour contourner les vérifications de sécurité des portefeuilles, ils commencent aussi à utiliser CREATE2 ou CREATE afin de générer dynamiquement des adresses temporaires. Cela rend inefficaces les listes noires des portefeuilles et complique davantage l’analyse des attaques, car sans signature, on ne peut pas savoir où les fonds seront transférés. Ces adresses temporaires n’ont aucune valeur analytique. Il s'agit là d'une grande évolution par rapport à l'année précédente.
Sites de phishing

L’analyse de l’évolution du nombre de sites de phishing montre clairement une croissance mensuelle continue, étroitement liée à la disponibilité stable des services de wallet drainer.

Voici les principaux registrars de domaines utilisés par ces sites de phishing. L’analyse des adresses serveurs révèle qu’ils utilisent majoritairement Cloudflare pour masquer leurs serveurs réels.
Outils de blanchiment
Sinbad
Sinbad est un mixeur Bitcoin créé le 5 octobre 2022, conçu pour brouiller les traces des transactions et dissimuler les flux de fonds en chaîne.
Le département américain du Trésor décrit Sinbad comme « un mixeur de monnaie virtuelle, principal outil de blanchiment du groupe nord-coréen Lazarus, désigné par l'OFAC ». Sinbad a traité des fonds provenant des piratages de Horizon Bridge et d'Axie Infinity, ainsi que des sommes liées à des sanctions, au trafic de drogue, à l'achat de matériel pédopornographique et à d'autres ventes illégales sur les marchés du dark web.

Les hackers d'Alphapo (Lazarus Group) ont utilisé Sinbad pendant leur processus de blanchiment, par exemple dans la transaction suivante :

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
Tornado Cash

(https://dune.com/misttrack/mixer-2023)
Tornado Cash est un protocole entièrement décentralisé et non gardien, qui améliore la confidentialité des transactions en rompant le lien entre adresse source et adresse cible. Pour protéger l'anonymat, Tornado Cash utilise un contrat intelligent qui accepte des dépôts d'ETH et d'autres jetons depuis une adresse, puis autorise leur retrait vers une autre adresse, permettant ainsi d'envoyer des fonds sans révéler l'adresse initiale.
En 2023, les utilisateurs ont déposé au total 342 042 ETH (environ 614 millions de dollars) dans Tornado Cash, et retiré 314 740 ETH (environ 567 millions de dollars).
eXch

(https://dune.com/misttrack/mixer-2023)
En 2023, les utilisateurs ont déposé 47 235 ETH (environ 90,14 millions de dollars) et 25 508 148 jetons ERC20 stables (environ 25,5 millions de dollars) sur eXch.
Railgun
Railgun utilise la technologie cryptographique zk-SNARKs pour rendre les transactions totalement invisibles. En « blindant » les jetons des utilisateurs dans son système de confidentialité, Railgun fait apparaître chaque transaction comme envoyée depuis une adresse de contrat Railgun.
Début 2023, le FBI américain a indiqué que le groupe Lazarus avait utilisé Railgun pour blanchir plus de 60 millions de dollars volés sur le pont Horizon Bridge d'Harmony.
Conclusion
Cet article présente les activités du groupe nord-coréen de hackers Lazarus en 2023. L'équipe de sécurité SlowMist surveille activement ce groupe, en analysant ses actions et méthodes de blanchiment, et en dressant un profil opérationnel. L'année 2023 a vu une recrudescence des groupes de phishing, causant des pertes massives dans l'industrie blockchain. Ces groupes adoptent une stratégie de relais, menant des attaques continues et de grande ampleur, posant de sérieux défis à la sécurité du secteur. Nous remercions sincèrement la plateforme anti-escroqueries Web3 Scam Sniffer pour sa contribution sur les Wallet Drainers, une partie essentielle pour comprendre leurs modes opératoires et sources de revenus. Enfin, nous avons également présenté les principaux outils de blanchiment employés par les hackers.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News









