TRM Labs : un groupe de hackers russes a blanchi $35 millions, volés via le piratage de LastPass

Auteur de l'article : Crypto Emergency

Des cybercriminels russes, selon TRM Labs, pourraient être derrière la légalisation de plus de $35 millions en cryptomonnaie, volés aux utilisateurs du gestionnaire de mots de passe LastPass. Les experts lient le retrait d'argent sur plusieurs années à la compromission du système de sécurité du service en 2022. Les actifs volés ont transité par une infrastructure historiquement associée au marché noir russe.

Comment les hackers ont blanchi les fonds volés
Les chercheurs ont établi que les malfaiteurs utilisaient activement des protocoles de confidentialité pour dissimuler leurs traces. Cependant, en fin de compte, les actifs s'accumulaient sur des plates-formes opérant en Russie. Selon le rapport, le retrait de fonds des portefeuilles compromis se poursuivait jusqu'à la fin de l'année 2025.

Les hackers ont utilisé des canaux traditionnellement employés par les groupes criminels cybernétiques russes. L'un des nœuds clés était l'échange Cryptex, qui est sous sanctions de l'OFAC. TRM Labs a identifié un « style on-chain cohérent », indiquant le travail d'un groupe coordonné unique. Les criminels convertissaient régulièrement divers jetons en bitcoin via des services d'échange instantané, puis dirigeaient les fonds vers des mixeurs — Wasabi Wallet et CoinJoin.

Comment les transactions ont-elles été dé-anonymisées
Les mixeurs regroupent les fonds de plusieurs utilisateurs, rendant le suivi des transactions plus difficile. Cependant, les analystes de TRM Labs ont découvert des vulnérabilités dans la façon dont les criminels utilisaient ces outils.

Les spécialistes ont appliqué une analyse de la continuité comportementale et étudié les empreintes numériques, y compris les particularités de l'importation de clés privées dans les portefeuilles. Cela a permis de « dé-mixer » les transactions et de reconstruire la chaîne de mouvement des fonds jusqu'à leur placement final sur les bourses russes.

Le rôle des plates-formes de cryptomonnaie russes
En plus de Cryptex, l'enquête a révélé la participation du service Audi6, par lequel environ 7 millions de dollars d'actifs volés ont transité. TRM Labs note que les portefeuilles interagissant avec les mixeurs montraient des liens avec la Russie tant avant qu'après les opérations de blanchiment. Cela indique que les hackers agissaient directement depuis la région, et non pas simplement en utilisant l'infrastructure.

Les données obtenues confirment le rôle de certaines plates-formes de cryptomonnaie dans le soutien à la cybercriminalité mondiale. En fournissant de la liquidité et des canaux pour retirer des actifs numériques volés, ces services aident les groupes criminels à monétiser les piratages et à échapper à la poursuite internationale.

#cybercrime #lastpass #cryptosecurity #BlockchainAnalysis #CryptoFraud