
Analyse du blanchiment d'argent par le groupe de hackers Lazarus, le plus audacieux gang de vols de cryptomonnaies de l'histoire
TechFlow SélectionTechFlow Sélection

Analyse du blanchiment d'argent par le groupe de hackers Lazarus, le plus audacieux gang de vols de cryptomonnaies de l'histoire
Cet article analysera plusieurs cas d'attaques typiques afin de révéler comment le groupe Lazarus a réussi à mener ces attaques spectaculaires grâce à des stratégies complexes et à des techniques avancées.
Rédaction : Beosin
Selon un rapport confidentiel des Nations Unies obtenu par Reuters, le groupe de hackers nord-coréen Lazarus Group aurait blanchi 147,5 millions de dollars via la plateforme de cryptomonnaie Tornado Cash en mars dernier, après avoir dérobé des fonds d'une bourse de cryptomonnaies l'année précédente.
Dans un document antérieur soumis au Comité des sanctions du Conseil de sécurité des Nations Unies, les inspecteurs ont indiqué enquêter sur 97 cyberattaques présumées attribuables à la Corée du Nord contre des entreprises de cryptomonnaies entre 2017 et 2024, représentant environ 3,6 milliards de dollars. Cela inclut une attaque à la fin de l'année dernière ayant entraîné le vol de 147,5 millions de dollars sur la bourse HTX, dont le blanchiment a été finalisé en mars.
Les États-Unis ont sanctionné Tornado Cash en 2022. En 2023, deux de ses cofondateurs ont été inculpés pour avoir facilité le blanchiment de plus d'un milliard de dollars, y compris pour des organisations criminelles liées à la Corée du Nord telles que Lazarus Group.
Selon une enquête menée par l'enquêteur en cryptomonnaies ZachXBT, Lazarus Group aurait converti en monnaie fiduciaire 200 millions de dollars de cryptomonnaies entre août 2020 et octobre 2023.
Dans le domaine de la cybersécurité, Lazarus Group est depuis longtemps accusé de mener de vastes cyberattaques et crimes financiers. Leurs cibles ne se limitent pas à un secteur ou une région spécifique, mais s'étendent à travers le monde entier, visant aussi bien des systèmes bancaires que des bourses de cryptomonnaies, des institutions gouvernementales ou des entreprises privées. Nous allons maintenant analyser plusieurs cas d'attaques typiques afin de révéler comment Lazarus Group réussit à mettre en œuvre ces attaques spectaculaires grâce à des stratégies complexes et à des moyens techniques sophistiqués.
Lazarus Group manipule l'ingénierie sociale et les attaques de phishing
Ce cas provient de médias européens. Auparavant, Lazarus avait pris pour cible des entreprises militaires et aérospatiales en Europe et au Moyen-Orient, publiant des offres d'emploi sur des plateformes comme LinkedIn pour tromper des employés, exigeant que les candidats téléchargent des fichiers PDF contenant des codes exécutables malveillants, puis lançant des attaques de phishing.
Les attaques d'ingénierie sociale et de phishing tentent toutes deux d'utiliser la manipulation psychologique pour inciter les victimes à baisser leur vigilance et à effectuer des actions telles que cliquer sur des liens ou télécharger des fichiers, compromettant ainsi leur sécurité.
Leur logiciel malveillant permet aux agents d'exploiter les vulnérabilités des systèmes des victimes et de voler des informations sensibles.
Lazarus a utilisé une méthode similaire lors d'une opération de six mois contre le fournisseur de paiement en cryptomonnaie CoinsPaid, entraînant un vol de 37 millions de dollars.
Durant toute cette campagne, ils ont envoyé de fausses opportunités d'emploi à des ingénieurs, lancé des attaques techniques telles que des attaques par déni de service distribué (DDoS), et procédé à des attaques par force brute en testant de nombreux mots de passe possibles.
Création d'incidents comme CoinBerry et Unibright
Le 24 août 2020, le portefeuille de la bourse canadienne de cryptomonnaies CoinBerry a été piraté.
Adresse du hacker :
0xA06957c9C8871ff248326A1DA552213AB26A11AE
Le 11 septembre 2020, suite à une fuite de clés privées, des transferts non autorisés d'une valeur de 400 000 dollars ont eu lieu depuis plusieurs portefeuilles contrôlés par l'équipe d'Unibright.
Adresse du hacker :
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
Le 6 octobre 2020, suite à une faille de sécurité, des actifs cryptographiques d'une valeur de 750 000 dollars ont été transférés sans autorisation depuis le portefeuille chaud de CoinMetro.
Adresse du hacker :
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT : Schéma du flux des fonds volés
Début 2021, les fonds provenant de divers incidents d'attaque ont convergé vers l'adresse suivante :
0x0864b5ef4d8086cd0062306f39adea5da5bd2603.
Le 11 janvier 2021, l'adresse 0x0864b5 a déposé 3000 ETH sur Tornado Cash, puis a à nouveau déposé plus de 1800 ETH via l'adresse 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 sur Tornado Cash.
Ensuite, du 11 au 15 janvier, près de 4500 ETH ont été progressivement retirés de Tornado Cash vers l'adresse 0x05492cbc8fb228103744ecca0df62473b2858810.
En 2023, après plusieurs transferts et conversions, les attaquants ont finalement regroupé les fonds vers d'autres adresses utilisées pour retirer les fonds issus d'autres incidents de sécurité. Selon le schéma de suivi des fonds, on peut observer que les attaquants ont progressivement envoyé les fonds volés vers l'adresse de dépôt de Noones et l'adresse de dépôt de Paxful.
Attaque contre le fondateur de Nexus Mutual (Hugh Karp)
Le 14 décembre 2020, Hugh Karp, fondateur de Nexus Mutual, s'est fait voler 370 000 NXM (soit 8,3 millions de dollars).

Beosin KYT : Schéma du flux des fonds volés
Les fonds volés ont été transférés entre plusieurs adresses ci-dessous et convertis en autres devises.
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Lazarus Group a réalisé des opérations de confusion, dispersion et regroupement des fonds via ces adresses. Par exemple, une partie des fonds a été transférée vers la chaîne Bitcoin, puis après plusieurs mouvements a été ramenée sur la chaîne Ethereum, ensuite passée par une plateforme de mixage avant d'être envoyée vers des plateformes de retrait.
Du 16 au 20 décembre 2020, une des adresses pirates, 0x078405, a envoyé plus de 2500 ETH vers Tornado Cash. Quelques heures plus tard, selon des corrélations de caractéristiques, on observe que l'adresse 0x78a9903af04c8e887df5290c91917f71ae028137 a commencé des opérations de retrait.
Les hackers, par transfert et conversion, ont envoyé une partie des fonds vers les adresses de retrait mentionnées dans l'incident précédent.
Ensuite, entre mai et juillet 2021, les attaquants ont transféré 11 millions de USDT vers l'adresse de dépôt Bixin.
Entre février et mars 2023, les attaquants ont envoyé 2,77 millions de USDT vers l'adresse de dépôt Paxful via l'adresse 0xcbf04b011eebc684d380db5f8e661685150e3a9e.
Entre avril et juin 2023, les attaquants ont envoyé 8,4 millions de USDT vers l'adresse de dépôt Noones via l'adresse 0xcbf04b011eebc684d380db5f8e661685150e3a9e.
Attaques contre Steadefi et CoinShift

Beosin KYT : Schéma du flux des fonds volés
Adresse d'attaque de l'incident Steadefi
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Adresse d'attaque de l'incident Coinshift
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
En août 2023, les 624 ETH volés lors de l'incident Steadefi ont été transférés vers Tornado Cash ; le même mois, les 900 ETH volés lors de l'incident Coinshift ont également été transférés vers Tornado Cash.
Après le transfert des ETH vers Tornado Cash, les fonds ont été progressivement retirés vers les adresses suivantes :
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
Le 12 octobre 2023, les trois adresses ci-dessus ont envoyé tous les fonds retirés de Tornado Cash vers l'adresse 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8.
En novembre 2023, l'adresse 0x5d65ae a commencé à transférer les fonds, qui ont finalement été envoyés via des relais et conversions vers les adresses de dépôt Paxful et Noones.
Synthèse des incidents
Ce texte présente les activités récentes du groupe de hackers nord-coréens Lazarus Group et analyse leurs méthodes de blanchiment d'argent : après avoir volé des actifs cryptographiques, Lazarus Group utilise principalement des transferts inter-chaînes suivis d'opérations sur des mixers comme Tornado Cash pour brouiller les traces des fonds. Après confusion, les fonds sont retirés vers des adresses cibles spécifiques, puis envoyés vers certains groupes d'adresses fixes pour être retirés. Les actifs cryptographiques volés sont généralement déposés sur les adresses de dépôt Paxful et Noones, puis convertis en monnaie fiduciaire via des services OTC.
Face aux attaques continues et massives de Lazarus Group, l'industrie Web3 fait face à d'importants défis en matière de sécurité. Beosin suit attentivement ce groupe de hackers et poursuivra le suivi de leurs activités et méthodes de blanchiment afin d'aider les projets, les régulateurs et les forces de l'ordre à combattre ces crimes et à récupérer les actifs volés.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










