Le Groupe Lazarus, un collectif de piratage sponsorisé par l'État nord-coréen, exécute des hacks crypto à travers un processus en plusieurs étapes mettant l'accent sur l'ingénierie sociale, le déploiement de logiciels malveillants et le blanchiment rapide de fonds.
Accès initial
Ils utilisent principalement des e-mails de spear-phishing et de fausses offres d'emploi pour tromper les employés ou les dirigeants afin de les amener à télécharger des applications trojanisées déguisées en outils de trading (par exemple, Celas Trade Pro, TokenAIS) ou des logiciels d'IA, contournant souvent les défenses avec des certificats valides.
Exploitation et vol
Une fois à l'intérieur, ils exploitent des vulnérabilités logicielles non corrigées (par exemple, Zoho ManageEngine), volent des clés privées des portefeuilles chauds/froids, ou interceptent des transactions lors des transferts, comme dans le vol de Bybit où ils ont redirigé 401,000 ETH d'une valeur de 1.5B $.
Blanchiment
Les actifs volés (principalement BTC, ETH) sont canalisés à travers des mixeurs comme Tornado Cash, des protocoles DeFi, des DEX et des réseaux OTC pour convertir et obscurcir les fonds, en conservant une grande partie pour le financement d'armes.
$BTC $ETH