Le groupe Lazarus de Corée du Nord dérobe 1,5 milliard de dollars en crypto-monnaie à Bybit, augmentant les menaces de sécurité des actifs numériques

L'événement en détail

Le 21 février 2025, l'organisation cybercriminelle Lazarus Group, liée à la Corée du Nord, a exécuté une attaque sophistiquée, siphonnant 1,5 milliard de dollars d'un portefeuille froid appartenant à l'échange de cryptomonnaies Bybit. Les attaquants ont réussi à exploiter des vulnérabilités au sein de l'infrastructure de portefeuille multi-signatures de Bybit, une mesure de sécurité conçue pour exiger plusieurs approbations pour les transactions. En contournant ces protocoles, le groupe a obtenu un accès non autorisé aux clés privées, permettant le transfert massif de fonds.

Cet incident est le dernier d'une série de vols de grande valeur attribués au groupe, qui emploie une variété de tactiques avancées. Leur principale méthode d'entrée est le spear phishing, une forme ciblée d'ingénierie sociale visant des individus spécifiques au sein d'une organisation. Des rapports de Google et Microsoft ont détaillé des campagnes où des agents de Lazarus ont ciblé des chercheurs en cybersécurité et d'autres personnels de grande valeur pour voler des identifiants et infiltrer des systèmes. Cette stratégie met en évidence une focalisation persistante sur les vulnérabilités humaines comme porte d'entrée à l'exploitation technique.

Implications pour le marché

Le vol de 1,5 milliard de dollars chez Bybit a provoqué d'importantes secousses sur les marchés des actifs numériques, jetant de sérieux doutes sur les pratiques de sécurité des échanges centralisés. L'événement est particulièrement alarmant car il impliquait le compromis d'un portefeuille froid, qui est généralement conservé hors ligne et considéré comme la forme de stockage la plus sécurisée pour les actifs numériques. Cela remet en question l'hypothèse de l'industrie selon laquelle le stockage à froid est imperméable aux attaques sophistiquées et ciblées et force une réévaluation des normes de sécurité de niveau institutionnel.

L'attaque a amplifié les préoccupations concernant les risques systémiques posés par la cybercriminalité parrainée par l'État pour l'écosystème financier plus large. La réaction immédiate du marché a été baissière, avec un examen accru de la sécurité opérationnelle des échanges et le potentiel de retombées réglementaires.

Commentaire d'expert

Les analystes de la cybersécurité et de la blockchain ont définitivement lié l'attaque de Bybit, entre autres, au Lazarus Group. Les autorités américaines et britanniques, y compris le ministère de la Justice, ont précédemment attribué des événements cybernétiques majeurs comme l'attaque de ransomware WannaCry à l'entité soutenue par la Corée du Nord. Les activités du groupe sont largement comprises comme une opération clé génératrice de revenus pour le régime nord-coréen.

En réponse à la menace croissante, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain a pris des mesures directes. L'OFAC a sanctionné deux ressortissants chinois, Tian Yinyin et Li Jiadong, pour leur rôle dans le blanchiment de cryptomonnaies volées au nom du Lazarus Group. Cette action réglementaire signale une attention croissante des autorités internationales à la perturbation des réseaux financiers qui permettent ces opérations cybercriminelles.

Contexte plus large

Les opérations du Lazarus Group vont au-delà du simple vol financier et sont mieux comprises comme une stratégie multifacette englobant l'espionnage, le sabotage et la cybercriminalité. Actif depuis au moins 2009, l'organisation a été liée à une série d'incidents très médiatisés, notamment le piratage de Sony Pictures, le vol de la Bangladesh Bank et d'importants vols de cryptomonnaies sur des plateformes telles que Bithumb, Poly Network et Atomic Wallet.

Ce schéma d'activité démontre un adversaire très capable et adaptatif qui apprend de chaque opération. Le groupe est connu pour partager des outils et des infrastructures entre ses sous-groupes, ce qui lui permet de faire évoluer rapidement ses techniques. De plus, Lazarus emploie des techniques sophistiquées de blanchiment d'argent, utilisant des services de mélange de crypto comme Sinbad.io pour obscurcir la trace des fonds volés. Cela représente un défi important et continu pour les forces de l'ordre mondiales et constitue une menace persistante pour l'intégrité et la sécurité du paysage financier et des actifs numériques international.