Skip to content
CBCyber Breaches
Recherche

Incidents attribués à :

Lazarus Group

Acteur étatique nord-coréen (Reconnaissance General Bureau de la RPDC). Mélange espionnage, vols financiers et casses crypto pour financer le régime.

Lazarus Group est l’appellation générique des unités cyber opérées par le Reconnaissance General Bureau (RGB) de Corée du Nord — le service de renseignement principal du pays. C’est l’un des rares acteurs étatiques à poursuivre régulièrement un gain financier direct, à la fois pour financer le régime de la RPDC sous sanctions et pour alimenter ses programmes d’armement.

Sur environ deux décennies, Lazarus a démontré un portefeuille opérationnel inhabituellement large : wipers destructifs (Sony Pictures, 2014), vol bancaire via SWIFT (Bangladesh Bank, 2016), rançongiciel mondial (WannaCry, 2017), et — depuis 2018 — un focus agressif sur le vol de cryptomonnaies. Les rapports d’experts de l’ONU estiment les recettes nord-coréennes du vol crypto entre 2017 et 2023 à plus de 3 milliards de dollars.

Méthode opératoire

Le playbook actuel de Lazarus contre les entités crypto est inhabituellement constant :

  1. Reconnaissance via LinkedIn / GitHub pour identifier les ingénieurs des exchanges, custodians et protocoles DeFi.
  2. Fausses offres d’emploi — typiquement des postes à distance avec salaires attractifs — pour attirer les ingénieurs dans des entretiens vidéo et des « challenges de code ».
  3. Dépendances malveillantes ou outillage d’entretien livrés pendant la phase d’évaluation, déposant des backdoors maison (AppleJeus, plus récemment le rootkit FudModule) sur les laptops d’ingénieurs.
  4. Escalade d’accès privilégiés vers les clés de signature, l’infrastructure wallet, ou les clés de mise à jour de smart-contracts.
  5. Vol et blanchiment via Tornado Cash (sanctionné par l’OFAC en 2022 spécifiquement à cause de Lazarus), bridges cross-chain et OTC desks.

Pourquoi c’est important

Lazarus est l’exemple canonique d’acteurs étatiques opérant à des fins financières à grande échelle. Sa persistance, sa sophistication technique et sa volonté d’assumer le coût de l’attribution le rendent quasi-unique parmi les APT. Les guides défensifs de la CISA, du FBI et du Trésor (alerte AA22-108A et successeurs) sont parmi les documents publics les plus opérationnellement spécifiques sur un acteur étatique.