Les pirates nord-coréens sont assis sur 170 millions de dollars de crypto non blanchis

Les cybercriminels de la République populaire démocratique de Corée (RPDC) se sont affirmés comme une menace persistante avancée pour l’industrie de la crypto-monnaie en 2021, Chainalysis signalé.

Selon la plate-forme de données basée sur la blockchain qui aide le gouvernement et les secteurs privés à détecter et à prévenir l’utilisation illicite de crypto-monnaies, les pirates nord-coréens ont volé pour 400 millions de dollars de crypto l’année dernière, tandis que le montant total des fonds non blanchis stockés à un niveau record (ATH).

« Groupe Lazare »

Ciblant principalement les entreprises d’investissement et les échanges centralisés, les pirates nord-coréens ont lancé au moins sept attaques sur des plates-formes de crypto-monnaie, extrayant près de 400 millions de dollars de crypto en 2021.

Alors que, par rapport à 2020, le nombre d’attaques est passé de quatre à sept, la valeur extraite a augmenté de 40 %.

Pour siphonner des fonds des portefeuilles « chauds » de ces organisations vers des adresses contrôlées par la RPDC, les cybercriminels ont utilisé des leurres de phishing, des exploits de code, des logiciels malveillants et une ingénierie sociale avancée.

Une fois que la Corée du Nord a obtenu la garde de la crypto volée, elle a utilisé des tactiques de blanchiment prudentes pour dissimuler et encaisser les fonds.

« Ces tactiques et techniques complexes ont conduit de nombreux chercheurs en sécurité à caractériser les cyber-acteurs de la RPDC comme des menaces persistantes avancées (APT) », note le rapport, ajoutant que cela est particulièrement vrai pour l’APT 38, alias le « Groupe Lazarus », dirigé par la RPDC. principale agence de renseignement, le Bureau général de reconnaissance des États-Unis et de l’ONU

À partir de 2018, le groupe Lazarus a volé et blanchi des sommes massives de crypto-monnaies chaque année, dépassant généralement 200 millions de dollars.

« Les piratages individuels les plus réussis, un sur KuCoin et un autre sur un échange de crypto-monnaie sans nom, chacun a rapporté plus de 250 millions de dollars à lui seul », lit le rapport, notant que, selon le Conseil de sécurité de l’ONU, les revenus des piratages soutiennent les ADM de la Corée du Nord. et les programmes de missiles balistiques.

Processus de blanchiment

En 2021, en termes de valeur monétaire, Ethereum représentaient pour la première fois la majorité des cryptos volées par la RPDC, tandis que Bitcoin ne représentaient que 20 %, et les jetons ERC-20 et les altcoins représentaient 22 % des fonds.

La variété croissante des crypto-monnaies volées a conduit à une complexité accrue du blanchiment de crypto en RPDC, selon Chainalysis, qui a décomposé le processus sophistiqué en plusieurs étapes, observant une utilisation accrue de « mélangeurs » parmi les pirates nord-coréens en 2021.

Ces outils logiciels permettent aux pirates de regrouper et de mélanger les crypto-monnaies de milliers d’adresses et de compliquer considérablement le suivi des transactions.

Chainalysis a expliqué les tactiques actuellement utilisées sur la base de l’une des attaques des dernières années – a entraîné le blanchiment de 91,35 millions de dollars en crypto.

En août, Liquid.com a signalé qu’un utilisateur non autorisé avait eu accès à certains des portefeuilles gérés par l’échange crypto. Lors de l’attaque, 67 jetons ERC-20 différents, ainsi que d’importantes sommes d’Ethereum et de Bitcoin ont été déplacés de ces portefeuilles cryptographiques vers des adresses contrôlées par une partie travaillant pour le compte de la RPDC.

Dans un processus de blanchiment généralement utilisé, les jetons ERC-20 et les altcoins sont échangés contre Ethereum dans les DEX.

À l’étape suivante, Ethereum est mélangé et échangé contre Bitcoin sur les DEX et les CEX.

Enfin, Bitcoin est mélangé et consolidé dans de nouveaux portefeuilles, après quoi il est envoyé à des adresses de dépôt dans des échanges crypto-fiat basés en Asie.

Selon le rapport, plus de 65 % des fonds volés de la RPDC ont été blanchis par des mélangeurs en 2021, contre 42 % en 2020.

Chainalysis décrit l’utilisation par la RPDC de plusieurs mélangeurs comme une « tentative calculée d’obscurcir les origines de leurs crypto-monnaies mal acquises tout en se transformant en fiat ».

Pendant ce temps, les pirates de la RPDC ont recours à des plates-formes DeFi telles que les DEX pour « fournir des liquidités pour une large gamme de jetons ERC-20 et d’altcoins qui pourraient autrement ne pas être convertibles en espèces ».

Échanger ces cryptos contre Ethereum ou Bitcoin les rend non seulement plus liquides, mais ouvre un plus grand choix de mélangeurs et d’échanges.

Étant non dépositaires, les plates-formes DeFi ne collectent souvent pas d’informations sur la connaissance de votre client (KYC), ce qui permet aux pirates d’utiliser leurs services sans voir leurs actifs gelés ou leurs identités exposées, selon Chainalysis.

Stockage de fonds non blanchis

« Chainalysis a identifié 170 millions de dollars de soldes actuels – représentant les fonds volés de 49 hacks distincts s’étendant de 2017 à 2021 – qui sont contrôlés par la Corée du Nord mais qui n’ont pas encore été blanchis par le biais de services », lit-on dans le rapport.

Le rapport a révélé d’énormes soldes non blanchis datant de six ans – environ 35 millions de dollars du total des avoirs de la RPDC provenaient d’attaques en 2020 et 2021, tandis que plus de 55 millions de dollars provenaient d’attaques menées en 2016.

« On ne sait pas pourquoi les pirates seraient toujours assis sur ces fonds, mais il se pourrait qu’ils espèrent que l’intérêt des forces de l’ordre pour les affaires s’éteindra, afin qu’ils puissent encaisser sans être surveillés », lit le rapport, ajoutant que quel que soit le raison pour laquelle « la durée pendant laquelle la RPDC est disposée à conserver ces fonds est éclairante car elle suggère un plan prudent, pas un plan désespéré et hâtif ».