Skip to content

Incidents attribués à :

Lazarus Group

Acteur étatique nord-coréen (Reconnaissance General Bureau de la RPDC). Mélange espionnage, vols financiers et casses crypto pour financer le régime.

Lazarus Group est l’appellation générique des unités cyber opérées par le Reconnaissance General Bureau (RGB) de Corée du Nord — le service de renseignement principal du pays. C’est l’un des rares acteurs étatiques à poursuivre régulièrement un gain financier direct, à la fois pour financer le régime de la RPDC sous sanctions et pour alimenter ses programmes d’armement.

Sur environ deux décennies, Lazarus a démontré un portefeuille opérationnel inhabituellement large : wipers destructifs (Sony Pictures, 2014), vol bancaire via SWIFT (Bangladesh Bank, 2016), rançongiciel mondial (WannaCry, 2017), et — depuis 2018 — un focus agressif sur le vol de cryptomonnaies. Les rapports d’experts de l’ONU estiment les recettes nord-coréennes du vol crypto entre 2017 et 2023 à plus de 3 milliards de dollars.

Méthode opératoire

Le playbook actuel de Lazarus contre les entités crypto est inhabituellement constant :

  1. Reconnaissance via LinkedIn / GitHub pour identifier les ingénieurs des exchanges, custodians et protocoles DeFi.
  2. Fausses offres d’emploi — typiquement des postes à distance avec salaires attractifs — pour attirer les ingénieurs dans des entretiens vidéo et des « challenges de code ».
  3. Dépendances malveillantes ou outillage d’entretien livrés pendant la phase d’évaluation, déposant des backdoors maison (AppleJeus, plus récemment le rootkit FudModule) sur les laptops d’ingénieurs.
  4. Escalade d’accès privilégiés vers les clés de signature, l’infrastructure wallet, ou les clés de mise à jour de smart-contracts.
  5. Vol et blanchiment via Tornado Cash (sanctionné par l’OFAC en 2022 spécifiquement à cause de Lazarus), bridges cross-chain et OTC desks.

Pourquoi c’est important

Lazarus est l’exemple canonique d’acteurs étatiques opérant à des fins financières à grande échelle. Sa persistance, sa sophistication technique et sa volonté d’assumer le coût de l’attribution le rendent quasi-unique parmi les APT. Les guides défensifs de la CISA, du FBI et du Trésor (alerte AA22-108A et successeurs) sont parmi les documents publics les plus opérationnellement spécifiques sur un acteur étatique.

Incidents liés

private-keypartially-recovered

Casse du Ronin Bridge

Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.

Victim
Sky Mavis / Axie Infinity / Ronin Network
Loss
$625.0M
private-keystolen

Casse NEM de Coincheck

La plateforme d'échange de cryptomonnaies Coincheck, basée à Tokyo, a perdu 523 millions de jetons NEM (~530 M$ à l'époque) depuis un portefeuille chaud dépourvu de protection multi-signature. Le plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois à l'époque — attribué par la suite au groupe Lazarus de Corée du Nord.

Victim
Coincheck Inc.
Loss
$530.0M
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B
Espionnagestolen

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim
Bangladesh Bank
Loss
$81.0M
WiperRésolu

Piratage de Sony Pictures Entertainment

Une attaque destructrice par wiper nord-coréenne, liée à la sortie du film « L'Interview qui tue », a détruit environ la moitié du parc informatique de Sony Pictures et divulgué des téraoctets de documents internes, d'e-mails et de films inédits.

Victim
Sony Pictures Entertainment
Loss
$100.0M
Records
1.0M