Vol de 250 millions de dollars en cryptomonnaies : la vérité derrière le braquage du siècle dévoilée en un mois
TechFlow SélectionTechFlow Sélection
Vol de 250 millions de dollars en cryptomonnaies : la vérité derrière le braquage du siècle dévoilée en un mois
Des voitures de luxe, une note d'alcool de 500 000 dollars et une mystérieuse tentative d'enlèvement avortée.
Dédié à des analyses Web3 approfondiesRédaction : Mitch Moxley
Traduction : zhouzhou, BlockBeats
Note de la rédaction : Cet article relate une affaire criminelle déclenchée par un vol de cryptomonnaie. ZachXBT a retracé via les réseaux sociaux le train de vie luxueux du suspect Lam et a aidé les forces de l'ordre dans leur enquête. Lam et ses complices ont utilisé des méthodes complexes de blanchiment d'argent, mais ont finalement été arrêtés grâce à la traque policière. Parallèlement, une autre affaire d'enlèvement est liée à ce groupe criminel, impliquant plusieurs hommes en Floride. Cette affaire révèle comment le cybercrime évolue progressivement vers des crimes réels de plus en plus violents. Enfin, les autorités ont réussi à récupérer les bitcoins volés ainsi que les preuves associées.
Ce qui suit est le texte original (révisé pour faciliter la lecture) :
Le 25 août 2024, en milieu d’après-midi sous une chaleur étouffante, Sushil et Radhika Chetal visitaient une maison dans un quartier résidentiel huppé de Danbury, dans le Connecticut. Les pelouses y étaient soigneusement entretenues, les piscines chauffées. Sushil, vice-président au sein de la succursale new-yorkaise de Morgan Stanley, conduisait alors un Lamborghini Urus gris mat, un SUV dont le prix de départ avoisine les 240 000 dollars.
Alors qu’ils tournaient dans une rue, une Honda Civic blanche les percuta soudainement par l’arrière. Simultanément, un fourgon Ram ProMaster blanc coupa leur trajectoire, bloquant complètement la route aux époux Chetal. Selon une plainte pénale déposée ultérieurement, six hommes vêtus de noir et masqués sortirent des véhicules, extirpèrent de force le couple de leur voiture et les poussèrent vers la portière latérale du fourgon.
Lorsque Sushil résista, les assaillants le frappèrent avec une batte de baseball et le menacèrent de mort. Ils attachèrent les mains et les pieds du couple avec du ruban adhésif, forcèrent Radhika à se coucher au sol en lui ordonnant de ne pas les regarder, même lorsqu’elle eut du mal à respirer à cause de son asthme et commença à supplier. Ils collèrent également du ruban sur le visage de Sushil et le frappèrent de nouveau avec la batte pendant que le fourgon accélérait.
Plusieurs témoins assistèrent à l’agression et appelèrent le 911. L’un d’eux était un agent du FBI en congé, habitant à proximité, qui se trouvait justement sur place. Il suivit le fourgon et la Honda Civic, transmettant en temps réel leur position aux forces de l’ordre. L’agent du FBI réussit aussi à relever partiellement le numéro d’immatriculation.
Peu après, la police de Danbury localisa le fourgon. Une voiture de patrouille activa ses gyrophares pour tenter de l’intercepter, mais le conducteur accéléra, zigzaguant dangereusement dans la circulation. Après environ un mile de course-poursuite, le véhicule quitta la route et heurta le trottoir. Quatre suspects s’enfuirent à pied. La police interpella l’un d’eux sous un pont après une brève poursuite. Dans les heures suivantes, trois autres furent retrouvés et arrêtés dans les bois voisins. Entre-temps, les époux Chetal, toujours ligotés et traumatisés, furent découverts à l’arrière du fourgon.
Steve Castrovinci, sergent-détective au sein de la police de Danbury, était en congé ce jour-là lorsque son supérieur hiérarchique l’appela pour l’informer de l’incident. Il se souvient que son supérieur lui avait dit : « Nous avons une affaire d’enlèvement, un vrai kidnapping. » Castrovinci rassembla plusieurs détectives, passa rapidement sur les lieux du crime, puis se rendit au poste pour interroger les suspects. Grâce aux informations fournies par l’un des suspects arrêtés, deux autres suspects furent appréhendés le lendemain matin dans une location Airbnb à Roxbury, à une trentaine de minutes de Danbury, où fut également retrouvée la Honda Civic blanche.
Pour Castrovinci, il s’agissait d’une affaire exceptionnellement dramatique. Danbury est une ville aisée et calme, où les rares cas d’enlèvement traités par la police concernent presque toujours des disputes familiales autour de la garde d’enfants. Un acte violent et public comme celui-ci était totalement inédit. Plus étrange encore, les forces de l’ordre découvrirent que ces suspects — âgés de 18 à 26 ans — avaient voyagé exprès depuis Miami jusqu’au Connecticut.
Ils avaient même loué le fourgon via l’application Turo. « Ce genre d’affaire, un policier n’en voit peut-être qu’une ou deux au cours de sa carrière », confia Castrovinci, qui cumule 20 ans d’expérience dans les forces de l’ordre, dont cinq années au sein de la police de New York. « Surtout dans un endroit comme le nôtre, ce genre de chose est extrêmement rare. »
Dans les semaines suivantes, la police garda pratiquement toutes les informations confidentielles. Castrovinci et son équipe tentaient désespérément de comprendre le mobile. Il était difficile de croire que les époux Chetal avaient été pris pour cible en raison du poste élevé de Sushil dans une banque d’investissement. Bien que vice-président chez Morgan Stanley, son salaire, bien que confortable, n’avait rien d’exceptionnel à Danbury. Si le mobile était financier, le fait que les ravisseurs aient abandonné le Lamborghini des Chetal (retrouvé plus tard dans les bois) restait incompréhensible. Aucune piste ne semblait cohérente.
Cependant, quelques jours après cet enlèvement raté, Castrovinci affirma que son équipe reçut une information cruciale du FBI, changeant radicalement le cours de l’enquête : l’affaire pourrait être liée à un vol massif de cryptomonnaie survenu une semaine avant l’attaque.
Un groupe de jeunes gens (certains s’étant connus sur des serveurs Minecraft) était soupçonné d’avoir volé 250 millions de dollars à une victime sans méfiance, entraînant une série d’événements incroyables mettant en jeu un gang de cybercriminels adolescents, des enquêteurs numériques indépendants les traquant, et plusieurs agences d’application de la loi. Tout cela semblait maintenant avoir conduit à l’enlèvement des Chetal — le chaos numérique et la culture qui l’entoure ayant franchi pour la première fois la barrière du monde réel de manière brutale et concrète.
Cette série d’événements débuta quelques semaines plus tôt, quand un résident de Washington D.C. commença à recevoir des notifications inhabituelles de connexion à son compte Google, provenant apparemment de l’étranger. Puis, le 18 août, il reçut un appel d’une personne se présentant comme membre de l’équipe de sécurité de Google. L’interlocuteur affirmait que sa boîte mail avait été piratée. L’appel semblait authentique — l’individu connaissait des informations personnelles du résident. Il lui demanda de confirmer certaines données par téléphone, sinon son compte serait fermé. Le résident obtempéra.
Peu après cet appel avec un prétendu employé de Google, le résident de Washington D.C. (dont l’identité est protégée dans les documents judiciaires fédéraux) reçut un second appel, cette fois d’un individu se faisant passer pour un représentant du service de sécurité de Gemini, célèbre plateforme d’échange de cryptomonnaie.
De même, l’interlocuteur possédait des informations personnelles et lui annonça que son compte Gemini (contenant environ 4,5 millions de dollars en cryptomonnaies) avait été compromis. Il devait immédiatement réinitialiser son double facteur d’authentification et transférer ses bitcoins vers un autre portefeuille pour sécuriser ses fonds.
L’individu au téléphone recommanda ensuite au détenteur du compte d’installer un logiciel censé « renforcer la sécurité ». L’homme accepta, ignorant qu’il téléchargeait en réalité une application de bureau à distance, permettant à l’appelant de prendre le contrôle de son ordinateur — et donc d’accéder à un autre portefeuille de cryptomonnaie, exposant ainsi ses actifs à un risque de vol encore plus considérable. En réalité, le résident de Washington D.C. était un investisseur précoce en cryptomonnaie, détenant plus de 4 100 bitcoins. Dix ans plus tôt, ces bitcoins valaient environ un million de dollars ; ce jour-là, leur valeur atteignait plus de 243 millions de dollars.
Le monde des cryptomonnaies repose sur un paradoxe fondamental : bien que les détenteurs de monnaie soient généralement anonymes, toutes les transactions sont publiques et enregistrées sur un grand livre appelé blockchain. Cela signifie que dès qu’un transfert a lieu, tout le monde peut le voir. Ce paradoxe a donné naissance à une nouvelle catégorie d’enquêteurs spécialisés dans le suivi des transactions suspectes sur la blockchain. Parmi eux, le plus célèbre est ZachXBT, un enquêteur indépendant spécialisé dans les crimes liés aux cryptomonnaies.
Dans l’univers des cryptos, ZachXBT est une figure bien connue mais mystérieuse. Il publie régulièrement de longs threads sur X (ancien Twitter), dénonçant des comportements illégaux, allant parfois jusqu’à nommer directement les coupables. Il compte environ 850 000 abonnés sur la plateforme. Il partage souvent ses découvertes avec les autorités. Wired l’a qualifié de « l’enquêteur indépendant en cybercriminalité liée aux cryptomonnaies le plus actif au monde ». Il n’a jamais révélé son identité en ligne.
Quelques minutes après que les actifs cryptographiques du résident de Washington D.C. furent vidés, ZachXBT, en transit dans un aéroport, reçut soudainement une alerte de transaction anormale sur son téléphone. Les enquêteurs utilisent généralement des outils surveillant les flux mondiaux de cryptomonnaies et paramètrent des alertes pour des événements spécifiques, comme un transfert dépassant 100 000 dollars via des plateformes à faible sécurité.
La première alerte signalait un transfert à six chiffres, montant ensuite progressivement jusqu’à 2 millions de dollars. Après avoir passé la sécurité, ZachXBT s’installa, alluma son ordinateur portable et commença à tracer la transaction, remontant finalement à un portefeuille contenant environ 240 millions de dollars en cryptomonnaies. Certains bitcoins remontaient même à 2012. « J’ai tout de suite senti que quelque chose clochait », m’expliqua-t-il. « Pourquoi quelqu’un qui détient des bitcoins depuis si longtemps irait utiliser des services notoirement utilisés pour blanchir de l’argent ? »
Il ajouta ensuite les adresses des portefeuilles liés à ces transactions à sa liste de suivi, puis embarqua dans son avion. Dès qu’il se connecta au Wi-Fi cabine, de nouvelles alertes affluèrent. Toute la journée, les bitcoins provenant de ce portefeuille colossal furent convertis progressivement via plus de 15 plateformes de cryptomonnaie à frais élevés.
À l’atterrissage, ZachXBT contacta plusieurs collègues spécialisés dans les vols de cryptomonnaies. L’un d’eux était Josh Cooper-Duckett, responsable des enquêtes chez Cryptoforensic Investigators, une des nombreuses entreprises indépendantes émergentes spécialisées dans le pistage des vols et fraudes en cryptomonnaies, et aidant les forces de l’ordre à récupérer les fonds pour les victimes. Âgé de 26 ans, Cooper-Duckett, originaire de Londres, s’est intéressé tôt aux cryptomonnaies. Après trois ans et demi en tant que consultant sécurité chez Deloitte, il s’est concentré sur les enquêtes de vols de cryptomonnaies, notamment celles impliquant des pertes supérieures à 100 000 dollars — désormais très courantes.
ZachXBT transmit ses découvertes à Cooper-Duckett et d’autres enquêteurs. Tous convinrent qu’il était hautement suspect de liquider soudainement un portefeuille valant près de 250 millions de dollars. « Personne ne se réveille un week-end avec autant d’argent et décide : “Je vais diviser mes fonds et les transférer vers plein d’échanges pour les convertir en Monero et en Ethereum.” Personne ne ferait ça normalement. »
Le groupe d’enquêteurs contacta alors les plateformes et services concernés, les informant que les fonds avaient été volés, espérant qu’ils gèleraient les actifs et coopéreraient avec la police. Certaines plateformes coopérèrent, d’autres non. « C’était un peu comme un jeu de taupes, » déclara Cooper-Duckett. « Ils essayaient constamment de transférer l’argent vers différents échanges et services, cherchant celui qui fonctionnerait. Après tout, ils devaient blanchir 240 millions de dollars — une somme astronomique. »
Parallèlement, ZachXBT alerta ses abonnés sur X : « Il y a environ sept heures, une transaction suspecte a eu lieu, transférant 4 064 bitcoins (environ 238 millions de dollars) depuis un compte probablement victime », écrivit-il. Les fonds ont ensuite circulé vers des plateformes comme THORChain, eXch, KuCoin, ChangeNOW, RAILGUN et Avalanche Bridge.
ZachXBT remarqua également que la victime avait précédemment reçu une compensation de la société Genesis. Genesis, une plateforme de prêt, avait déposé son bilan en 2023 suite à l’effondrement de FTX dirigé par Sam Bankman-Fried.
Grâce à son réseau, ZachXBT réussit finalement à contacter la victime par e-mail. Le résident de Washington D.C., choqué, engagea alors ZachXBT, Cryptoforensic Investigators et une autre entreprise d’enquête en cryptomonnaies pour l’aider à retrouver ses actifs volés.
Le même jour, il déposa une plainte auprès du Centre de signalement des crimes Internet (IC3) du FBI, et ZachXBT contacta immédiatement ses contacts au sein des forces de l’ordre. (Le FBI et le ministère de la Justice ont refusé d’accorder des interviews à ce sujet.)
La croissance rapide des vols de cryptomonnaies submerge déjà les agents fédéraux. Selon le dernier rapport, l’IC3 a reçu plus de 69 000 plaintes liées à des fraudes financières en cryptomonnaies en 2023, totalisant des pertes dépassant 5,6 milliards de dollars, soit une augmentation de 45 % par rapport à 2022.
Bien que les plaintes liées aux cryptomonnaies ne représentent que 10 % de l’ensemble des fraudes financières, elles causent près de la moitié des pertes totales. Le rapport souligne que les caractéristiques décentralisées des cryptomonnaies, l’irréversibilité des transactions et la possibilité de transférer des fonds librement à l’échelle mondiale les rendent particulièrement attrayantes pour les criminels, et rendent leur récupération extrêmement difficile pour le FBI. En réponse, le FBI a créé en 2022 une unité dédiée aux actifs virtuels (Virtual Assets Unit, V.A.U.) pour combattre spécifiquement les vols de cryptomonnaies.
En raison de l’ampleur et de la difficulté de ces affaires, les experts affirment que les agences gouvernementales — y compris le FBI, le département de la Sécurité intérieure, les Services secrets, voire l’IRS — doivent désormais compter sur des entreprises privées et des enquêteurs indépendants qui connaissent profondément le monde souterrain du crime numérique. « Josh et Zach, ils sont vraiment rapides et précis dans leurs recherches », affirma Nick Bax, fondateur de la société d’analyse de cryptomonnaies Five I’s.
Bax a collaboré avec ZachXBT sur plusieurs affaires, mais n’a jamais vu son visage. Lors de leurs premiers appels, ZachXBT utilisait un logiciel de modification vocale pour imiter la voix de Mickey Mouse. « Honnêtement, je suis plutôt doué moi-même, mais comparé à eux, je n’arriverai jamais à leur niveau », dit Bax. « Et je pense sincèrement que leurs cerveaux ont été modifiés, parce qu’ils font ça depuis qu’ils sont très jeunes. »
Les enquêteurs en cryptomonnaies utilisent souvent des comptes fictifs pour infiltrer des forums comme Telegram ou Discord, fréquentés par des hackers et arnaqueurs, afin d’observer leurs conversations, leurs plans et leurs vantardises. Ils constatent que ces criminels sont souvent très jeunes et imprudents, laissant fréquemment des indices involontaires.
Après que ZachXBT a publié sur X un message concernant ce vol, une source anonyme le contacta via un compte temporaire, fournissant des indices potentiels sur l’identité des voleurs. Cette source envoya à ZachXBT plusieurs vidéos enregistrées, prétendument capturées pendant qu’un des escrocs diffusait en direct le vol à ses amis. Les vidéos, d’environ une heure et demie au total, incluaient des extraits d’appels avec la victime. Sur l’une d’elles, on entend les escrocs hurler de joie en découvrant qu’ils venaient de voler 243 millions de dollars en bitcoins : « Oh mon Dieu ! Oh mon Dieu ! 243 millions ! C’est trop bon ! Oh mon Dieu ! Oh mon Dieu ! Frère ! »
Dans leurs conversations privées, les escrocs utilisaient des pseudonymes comme Swag, $$$ ou Meech, mais commirent une erreur fatale : l’un d’eux exposa accidentellement son bureau Windows pendant le direct, révélant dans le menu démarrant son véritable nom — Veer Chetal, un adolescent de 18 ans originaire de Danbury — le fils du couple kidnappé mentionné précédemment.
Veer Chetal était un élève brillant et discret, fraîchement diplômé du lycée Immaculate High School à Danbury, sur le point d’intégrer l’université Rutgers dans le New Jersey. En 2022, il avait terminé un programme « Futur avocat », et le site du lycée avait publié une photo de lui — un jeune homme souriant, lunettes sur le nez, vêtu d’un coupe-vent Tommy Hilfiger et d’un polo rouge.
Ses camarades se souviennent qu’il était très timide et passionné de voitures. « Il était toujours seul », déclara Marco Dias, qui était devenu ami avec Chetal en terminale. Un autre élève, Nick Paris, ajouta que Chetal était très discret jusqu’au milieu de sa dernière année, quand il arriva un jour au lycée au volant d’une Corvette. « Il s’est garé là, à 7h30 du matin, tout le monde était stupéfait », raconta Paris.
Très vite, Chetal passa à une BMW, puis à un Lamborghini Urus. Il commença à porter des chemises Louis Vuitton et des chaussures Gucci. Le jour du skip day des terminales, alors que Paris et d’autres élèves allaient simplement traîner au centre commercial voisin, Chetal emmena certains amis, dont Dias, à New York, où il loua un yacht pour une fête, photographiant tout le monde sur le pont avec des liasses de billets.
Chetal affirmait avoir gagné cet argent en spéculant sur les cryptomonnaies ; Dias raconte qu’un matin en étude, Chetal lui a montré des relevés de transactions sur son téléphone comme preuve. Une fois, Chetal loua une grande maison à Stamford, dans le Connecticut, et organisa une fête de trois jours. « Une fois, dans le sous-sol, je jouais avec des amis, et je l’ai vu allongé seul sur un canapé, jouant avec son téléphone, évitant tout le monde, » se souvint Dias. « Je me suis dit : c’est vraiment bizarre. » Paris se rappelle qu’une fois, pendant un défilé scolaire, la police avait arrêté le Lamborghini Urus de Chetal pour infraction au code de la route. « Il a appelé son avocat sur-le-champ, avant même que la police ne lui parle. Tout le monde pensait : waouh, ce mec a vraiment du pouvoir, il est vraiment riche. »
Des enquêteurs indépendants ont révélé que Chetal était en réalité un membre secret d’un groupe appelé Com (aussi connu sous Comm ou Community). Ce groupe trouve ses racines dans les cercles underground de hackers des années 1980 et s’est transformé aujourd’hui en un réseau social de criminels numériques et d’aspirants criminels.
Selon une déclaration sous serment du FBI dans une affaire non liée, un agent décrit Com comme « une alliance de sous-groupes géographiquement dispersés, collaborant via des applications de messagerie en ligne comme Discord et Telegram, et participant à diverses activités criminelles. »
D’après ce témoignage et des experts spécialisés dans Com, les activités de ces groupes incluent : les fausses alertes policières (swatting) ; le piratage de carte SIM (SIM swapping) ; les attaques par rançongiciel (ransomware) ; le vol de cryptomonnaies ; et les intrusions dans des systèmes d’entreprise.
Allison Nixon, chercheuse principale au sein du groupe de cybersécurité Unit 221B, observe ce coin numérique en expansion depuis 2011 et est aujourd’hui largement reconnue comme l’une des expertes mondiales sur Com.
Elle affirme que les membres de Com sont majoritairement de jeunes hommes originaires de pays occidentaux. Dans les discussions de groupe, beaucoup parlent de leurs études universitaires et de leurs cours en cybersécurité, connaissances qu’ils utilisent ensuite pour commettre des crimes. Nixon précise que beaucoup entrent dans ce cercle via des jeux vidéo comme RuneScape, Roblox ou Grand Theft Auto.
Vers le milieu des années 2010, un monde plus sombre a commencé à émerger dans Minecraft — un jeu centré sur la création — en grande partie grâce à l’apparition de serveurs en ligne. Ces serveurs, créés et gérés par des utilisateurs, permettent aux joueurs de former des équipes compétitives appelées « factions ». Sur ces serveurs, Minecraft devient un champ de bataille compétitif, ouvrant la voie à des opportunités lucratives et à des escroqueries.
Bientôt, les serveurs introduisirent des achats intégrés : les joueurs pouvaient payer pour débloquer des fonctionnalités comme le vol, des armes ou armures plus puissantes. Certains achats offraient aussi des tenues stylisées, devenant des symboles de statut en ligne.
Au fur et à mesure que les joueurs s’engageaient davantage dans ces serveurs compétitifs, un vaste marché noir apparut sur Discord, spécialisé dans le commerce d’objets de jeu et de pseudonymes rares. Étant donné que les joueurs de Minecraft sont souvent des adolescents, ce marché noir devint rapidement un terrain fertile pour les arnaques.
Les utilisateurs convenaient souvent de payer en espèces via PayPal contre des objets de jeu, mais une fois payés, les escrocs bloquaient l’acheteur. Cette pratique étant si répandue, des services d’intermédiation apparurent — percevant des frais pour conserver temporairement l’argent et l’objet, puis les remettre aux deux parties.
Dans ce milieu, certains pseudonymes courts — souvent quatre lettres ou moins, comme Tree, OK, Mark, YOLO ou G — devinrent des objets de collection très prisés, pouvant valoir plus de 10 000 dollars.
Avec la prospérité des serveurs « factions » et du marché noir, les cryptomonnaies virtuelles gagnèrent en popularité dans ces communautés, remplaçant progressivement PayPal comme moyen de paiement principal. Ce terrain d’entraînement sans règles, mêlant compétition, jeux d’argent et arnaques, combiné à une familiarité croissante avec les cryptomonnaies, fit de ces serveurs Minecraft un véritable vivier de nouveaux cybercriminels.
En 2017, avec la flambée du prix du bitcoin, les membres de Com passèrent naturellement des arnaques sur Minecraft aux vols de cryptomonnaies. Le forum le plus populaire de Com, « OGUsers », initialement dédié à l’achat et vente de comptes et pseudonymes sur les réseaux sociaux, devint rapidement un nid de cybercriminalité, incluant le SIM swapping et le piratage de comptes Twitter.
Nixon explique : « Ces communautés antisociales se sont rapidement transformées en une bande de "hackers milliardaires", diffusant cette culture, car les gens voyaient d’autres devenir millionnaires du jour au lendemain et voulaient savoir comment. » Cela a provoqué une croissance rapide de Com.
La méthode la plus courante utilisée par Com aujourd’hui pour voler des cryptomonnaies est l’ingénierie sociale : manipuler psychologiquement les utilisateurs pour obtenir des informations sensibles. Les membres de Com collectent des listes de victimes potentielles issues de fuites de données, puis les ciblent précisément — exactement comme dans le cas de la victime de Washington D.C. Parfois, ils publient même des « offres d’emploi » en ligne pour recruter des complices.
L’enquêteur Nick Bax a partagé une offre publiée sur Telegram, promettant « 5f a week » (cinq chiffres hebdomadaires) — « à condition d’être rapide » — pour appeler des cibles potentielles. L’offre exigeait un « accent professionnel typiquement américain ». Après un vol, les membres de Com retournent parfois sur le marché noir de Minecraft, utilisant les cryptomonnaies volées pour acheter des objets rares, puis les revendant via PayPal pour obtenir de l’argent liquide, effectuant ainsi un blanchiment.
Quand ZachXBT découvrit l’identité réelle de Veer Chetal, lui et les autres enquêteurs identifièrent rapidement d’autres personnes impliquées. Dans les enregistrements obtenus par ZachXBT, les voleurs s’appelaient mutuellement par leurs pseudonymes Com, ou prononçaient parfois leurs véritables noms. L’un des noms répétés était Malone, alias Malone Lam.
Malone Lam, âgé de 20 ans, est originaire de Singapour et est une figure notoire dans le cercle Com, utilisant des pseudonymes comme Greavys et Anne Hathaway. C’est aussi un joueur expérimenté de Minecraft, coiffé d’une frange, souvent banni des serveurs mais toujours capable de revenir. Au printemps 2023, après un conflit avec un administrateur sur le serveur Minecadia et la perte d’objets de jeu, il a doxxé l’administrateur, publiant son adresse et son numéro de sécurité sociale en ligne, et a même envoyé des services d’urgence chez lui pour harcèlement.
Selon plusieurs utilisateurs et des archives de discussions Discord, Chetal et Lam se sont rencontrés sur Minecraft, ayant joué ensemble dans une « faction » dirigée par Lam.
En octobre 2023, Lam entra aux États-Unis avec un visa de 90 jours. Il ne jouait plus guère à Minecraft. Selon les documents judiciaires, il subsistait ensuite grâce à d’autres fraudes liées aux cryptomonnaies.
Après le vol de cryptomonnaies d’août 2024, ZachXBT traça Lam via l’OSINT (renseignement open source), en particulier les réseaux sociaux. Dans les groupes Com, tout le monde parlait de Lam dépensant follement, sans savoir d’où venait son argent, mais mentionnant sa vie luxueuse dans les clubs nocturnes de Los Angeles.
ZachXBT examina les discothèques les plus populaires de la ville et consulta les publications Instagram des participants et des clubs. Dans une publication, Malone, vêtu d’un manteau blanc Moncler, portait des bagues en diamant et des lunettes de soleil serties de pierres précieuses. Il monta sur une table et se mit à jeter des billets de 100 dollars dans la foule.
Tandis que l’argent pleuvait, des serveurs apportaient des bouteilles de champagne à 1 500 dollars, ornées de feux d’artifice, et brandissaient des pancartes marquées « @Malone ». Ce soir-là, il dépensa 569 528 dollars uniquement dans ce club. Dans un autre établissement, Lam et son équipe lancèrent un défi provocateur à ZachXBT, demandant aux clients de brandir des pancartes disant « TOLD U WE’D WIN » (je vous avais dit qu’on gagnerait) et une autre avec « [insulte] ZACHXBT ».
Dans les semaines suivantes, Lam acheta 31 voitures, dont des Lamborghini, Ferrari et Porsche personnalisées, certaines valant jusqu’à 3 millions de dollars. Le 24 août, il envoya clairement une photo d’une Lamborghini rose à un mannequin. Il écrivit : « Je t’ai acheté un cadeau, on va l’appeler cadeau d’anniversaire anticipé. » Elle répondit : « J’ai un nouveau petit ami. » Il répliqua : « idc » (je m’en fiche).
Le 10 septembre, après 23 jours de fête à Los Angeles, Lam partit en avion privé vers Miami avec un groupe d’amis. Là-bas, il loua plusieurs propriétés, dont une villa de 7,5 millions de dollars avec 10 chambres. En quelques jours, Lam remplit l’allée de voitures de luxe supplémentaires, dont plusieurs Lamborghini, une portant même le nom « Malone » peint sur le côté.
Tous les quelques jours, ZachXBT envoyait ses découvertes aux forces de l’ordre. Les informations étaient généralement à sens unique, mais les autorités fédérales menaient aussi leur propre enquête. Selon les documents judiciaires, les suspects présumés ont utilisé des méthodes complexes de blanchiment pour cacher l’argent et dissimuler leur identité, passant par des échanges comme eXch, qui n’exigent aucune information client, et utilisant des réseaux privés virtuels (VPN) pour masquer leur localisation réelle.
Mais selon les autorités, ils ont commis une erreur : à un moment, un suspect oublia d’utiliser un VPN lors de l’inscription sur TradeOgre, une plateforme de cryptomonnaies, révélant ainsi une adresse IP pointant vers une propriété à Encino, en Californie, louée 47 500 dollars par mois. Cette propriété était louée par Jeandiel Serrano, âgé de 21 ans, utilisant en ligne les pseudonymes VersaceGod, @SkidStar et Box. Lorsque les autorités l’identifièrent, il était en vacances aux Maldives avec sa petite amie.
Le 18 septembre, lorsque Serrano atterrit à l’aéroport international de Los Angeles en provenance des Maldives, les forces de l’ordre l’attendaient. Il portait une montre valant 500 000 dollars. À son arrestation, Serrano nia d’abord connaître le vol et accepta de parler aux autorités sans avocat. Mais selon le rapport judiciaire, il admit rapidement sa participation, notamment avoir usurpé l’identité d’un employé de Gemini.
Serrano reconnut posséder cinq voitures, dont deux lui avaient été offertes par ses complices avec des fonds provenant d’arnaques antérieures. Il admit aussi que son téléphone contenait environ 20 millions de dollars en cryptomonnaies de la victime, et accepta de restituer les fonds au FBI.
Entre-temps, les agents de Miami préparaient une descente dans l’une des villas louées par Lam. Lam savait que l’assaut arrivait : après l’arrestation de Serrano, la petite amie de ce dernier appela immédiatement les complices de Lam. Ensuite, ils supprimèrent leurs comptes Telegram et effacèrent d’autres preuves sur leurs téléphones.
Plus tard ce jour-là, une équipe d’agents du FBI, travaillant avec la police de Miami, perquisitionna une villa située près de la côte de Miami. Les agents utilisèrent des dispositifs explosifs pour forcer la porte métallique d’entrée, tandis qu’un autre groupe pénétrait par l’arrière via un petit canal salé. Alors qu’ils entraient dans la maison, les bangs des grenades aveuglantes résonnèrent dans le quartier.
Peu après, un agent fit sortir Lam menotté, vêtu d’une chemise longue blanche, d’un short de basket rouge foncé et de baskets, l’air enfumé, suivi par au moins cinq autres personnes présentes dans la maison. Serrano et Lam sont accusés de blanchiment d’argent et de complot pour fraude téléphonique. Chaque accusation peut entraîner jusqu’à 20 ans de prison.
Exactement un mois après le hold-up, la fête était terminée.
Au fil des jours et semaines suivant l’enlèvement de la famille Chetal à Danbury, Castrovinci et la police collaborèrent avec les agents fédéraux pour construire le dossier contre le gang de Floride. Ils obtinrent rapidement l’accès aux téléphones des suspects, analysant les discussions de groupe et traquant les mouvements des membres.
Ils apprirent que ce voyage avait été partiellement financé et organisé par Angel Borrero, un Miamien de 23 ans surnommé Chi Chi. Dans les messages, Borrero écrivait aux autres : « Si tout se passe bien, on va en Californie. » Les agents du FBI supposent que cela signifiait que le groupe prévoyait d’autres opérations en Californie. Ce jour-là, Josue Alberto Romero (surnommé Sway) envoya un message au groupe : « Chi Chi, on est plus prêts que jamais. » Ces messages montrent que le groupe coordonnait ses actions dès 7 heures du matin et surveillait la famille Chetal une partie de l’après-midi.
À ce stade, la police avait trouvé le mobile : elle pensait que ces hommes avaient pris pour cible la famille Chetal afin d’obtenir par chantage l’argent détenu par leur fils. Des enquêteurs indépendants pensent qu’au moins un membre du groupe, Reynaldo (Rey) Diaz, utilisant le pseudonyme Pantic, pourrait être membre de Com.
ZachXBT suppose que les voleurs, en vantant leurs dépenses auprès d’autres membres de Com, se sont mis en danger. « On croirait que, après un crime, on reste silencieux, » dit-il. « Mais ils ressentent le besoin de se vanter devant ceux qu’ils croient être des amis. Sauf que ces gens ne sont peut-être pas vraiment des amis. »
Le 27 août, la police de Danbury inculpa six suspects pour multiples chefs d’agression au premier degré, enlèvement au premier degré et mise en danger volontaire. Peu après, des accusations fédérales furent portées. Le 24 septembre, un grand jury de la cour fédérale du Connecticut inculpa six hommes de Floride pour enlèvement, vol de véhicule et complot criminel.
Ces six hommes de Floride représentent une faction croissante de Com qui, au lieu de se limiter aux escroqueries en ligne, adopte désormais la violence. Diaz lui-même avait été blessé par balle deux ans plus tôt en Floride lors d’une tentative de vol.
Dans une déclaration sous serment du FBI, un agent affirme que les membres de Com commettent souvent des « attaques à coups de briques, de fusil ou d’incendie volontaire ». Selon le journaliste d’enquête Brian Krebs, en 2022, un jeune homme nommé Foreshadow fut enlevé et battu par un groupe rival spécialisé dans le SIM swapping, qui exigeait une rançon de 200 000 dollars.
En octobre 2023, Patrick McGovern-Allen, un homme de 22 ans originaire d’Egg Harbor Township, dans le New Jersey, fut condamné à 13 ans de prison pour avoir participé à des travaux violents après avoir été recruté par un groupe de cybercriminels. En novembre dernier, on rapporta que le PDG d’une entreprise de cryptomonnaies basée à Toronto avait été enlevé et qu’une rançon d’un million de dollars lui avait été réclamée.
Quelques semaines plus tard, un adolescent de 13 ans ayant créé une cryptomonnaie et gonflé sa valeur fut exposé dans la communauté cryptographique, et l’on raconta que son chien avait aussi été enlevé. En janvier, le fondateur de l’entreprise française Ledger et sa femme furent enlevés ; ses mains mutilées, et une rançon de plusieurs millions de dollars en cryptomonnaies lui fut exigée.
Cependant, de plus en plus de personnes non affiliées à Com sont désormais prises pour cible, affirme la chercheuse Nixon. Certains prétendus membres de Com participent à des « groupes de maltraitance », où des membres poussent de jeunes femmes et filles à s’automutiler et à s’agresser. Nixon indique qu’il y a sept ans, une dizaine de membres de Com méritaient peut-être attention ; aujourd’hui, ils sont des milliers. « Maintenant, » dit-elle, « nous assistons à une évolution du crime désorganisé vers le crime organisé. Nous sommes au cœur de cette transition. »
Ces deux affaires — le vol de cryptomonnaies et l’enlèvement — montrent que l’anarchie totale des membres de Com dans le monde numérique leur donne l’illusion qu’ils peuvent reproduire ces crimes dans le monde réel. « Je ne pense pas qu’ils aient appris quoi que ce soit, » déclara ZachXBT. « J’ai vu beaucoup de gens, après une arrestation ou la confiscation de leurs biens — beaucoup retournent à leur ancienne vie. »
Cette année, cinq des six hommes de Floride ont plaidé coupables aux accusations fédérales d’enlèvement et de complot, encourant potentiellement 15 ans de prison. En janvier, Michael Rivas, âgé de 19 ans, s’est excusé devant le tribunal de Hartford pour ses actes, les qualifiant de « stupides », affirmant qu’il aidait une autre personne à exécuter un « plan de vengeance », sans entrer dans les détails.
En février, James Schwab, un homme de 22 ans originaire de Géorgie, a été inculpé pour son implication présumée dans le plan d’enlèvement. Selon l’acte d’accusation fédéral, Schwab avait eu un conflit avec Veer Chetal dans un club de nuit à Miami un mois avant l’enlèvement, et aurait financé le plan, organisant transports et hébergements pour les assaillants. Il a plaidé non coupable.
Le 25 mars, ZachXBT a mis à jour sur X les derniers développements de son enquête sur les cryptomonnaies volées : « Mise à jour : Wiz (Veer Chetal) arrêté », écrivit-il. « Voici sa photo. » La photo jointe montre un jeune homme en T-shirt blanc, cheveux bouclés, barbe épaisse, l’air las, le regard fatigué. Il est méconnaissable par rapport à l’adolescent souriant du site du lycée Immaculate. Les registres pénitentiaires indiquent une infraction fédérale, sans préciser la nature du chef d’accusation.
Selon ZachXBT, les bitcoins volés qu’il a tracés ont été transférés vers un portefeuille contrôlé par les forces de l’ordre. Ce jour-là, le Lamborghini Urus gris mat conduit par Sushil et Radhika Chetal lors de l’enlèvement restait stationné comme preuve dans un parking sécurisé de la police de Danbury. Ce Lamborghini était la voiture que leur fils conduisait au lycée.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@nytimes
