Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Demander une démo
Recherche
Recherche
24 février 2022

Principaux enseignements du rapport du CNAS sur les cyberattaques nord-coréennes

Perspectives TRM
Principaux enseignements du rapport du CNAS sur les cyberattaques nord-coréennes

Le CNAS publie un rapport sur les crypto-monnaies utilisées dans les cyberattaques de la Corée du Nord

La semaine dernière, le Center for a New American Security (CNAS) a publié un document intitulé "Following the Crypto: Using Blockchain Analysis to Assess the Strengths and Vulnerabilities of North Korean Hackers." Le rapport, produit en collaboration avec TRM, se concentre sur la façon dont la Corée du Nord attaque les entreprises de crypto-monnaies et blanchit les fonds volés. Selon le rapport, "depuis 2014, l'organisation cybercriminelle dirigée par Pyongyang et connue sous le nom de Lazarus Group est passée d'une équipe de pirates informatiques voyous à une armée magistrale de cybercriminels et de filiales étrangères, capable de compromettre les principaux réseaux financiers nationaux et de voler des centaines de millions de dollars d'Actifs Numériques." Nous savons que la Corée du Nord est entrée sur le champ de bataille numérique et que les crypto-monnaies sont sa cible. Nous savons que la Corée du Nord utilise des techniques de piratage sophistiquées et s'appuie sur l'ingénierie sociale pour échapper aux contrôles de cybersécurité. Mais que nous apprend le rapport sur les moyens utilisés par les cybercriminels de la RPDC pour blanchir les fonds volés ?

Principaux enseignements :

  • Les cyberacteurs de la Corée du Nord s'attaquent aux entreprises de crypto-monnaies afin de financer la prolifération des armes et d'autres activités déstabilisantes.
  • L'objectif d'une attaque, et du blanchiment d'argent qui y est associé, est de transformer la crypto-monnaie volée en monnaie fiduciaire utilisable, souvent le plus rapidement possible.
  • Les cybercriminels nord-coréens sont devenus plus sophistiqués dans le blanchiment des fonds volés à chaque piratage qu'ils effectuent. Ils utilisent désormais couramment des services de mixeur multiples et d'autres techniques d'obscurcissement, mais ils commettent encore des erreurs qui peuvent être exploitées par les forces de l'ordre.

La Corée du Nord cible et attaque de plus en plus les entreprises du secteur des cryptomonnaies

Les cybercriminels nord-coréens se livrent à des cyberattaques d'une rapidité et d'une ampleur sans précédent contre les entreprises de crypto-monnaie. En fait, comme indiqué dans **un récent article de blog de TRM, le tristement célèbre Lazarus Group a mis en œuvre une stratégie sophistiquée pour cibler les petites et moyennes entreprises de crypto-monnaies dans le cadre d'une campagne appelée "SnatchCrypto". Selon un rapport de la société de cybersécurité Kaspersky, les opérateurs nord-coréens traquent et étudient les startups de crypto-monnaies prospères pour mener à bien ces attaques.

Les attaques contre les bourses de crypto-monnaies et d'autres entreprises ne sont pas nouvelles. Selon Nick Carlsen, ancien expert du FBI sur la Corée du Nord et désormais membre de l'équipe Global Investigations de TRM, "la Corée du Nord est, à bien des égards, coupée du système financier mondial par une longue campagne de sanctions menée par les États-Unis et des partenaires étrangers. En conséquence, elle s'est lancée sur le champ de bataille numérique pour voler de la crypto-monnaie. Ces campagnes sont essentiellement des vols de banque à la vitesse de l'internet et ont été utilisées pour financer des programmes d'armement, la prolifération nucléaire et d'autres activités déstabilisantes."

Les incitations économiques qui poussent la Corée du Nord à ignorer les normes internationales et à poursuivre ces vols sont puissantes. Ces dernières années, ces vols ont rapporté des centaines de millions de dollars, essentiellement sous forme de bénéfices purs. Ces revenus représentent une part énorme des recettes globales en devises fortes de la Corée du Nord, en particulier dans la période d'isolement commercial accru qui a suivi la conférence COVID. Ces opérations prennent souvent des mois à se mettre en place, les pirates observant attentivement les activités d'une cible et attendant le moment opportun pour frapper.

Contrairement à leurs homologues d'autres régions du monde, les pirates nord-coréens ne sont pas réellement menacés d'arrestation ou d'extradition et sont capables de prendre des risques qui seraient inimaginables pour d'autres. Par exemple, alors que nous les voyons utiliser des services de mixeur , des échanges non conformes et d'autres techniques d'obscurcissement de la chaîne, Lazarus se contente souvent de déplacer des fonds au grand jour aussi rapidement que possible. La clé pour les voleurs de crypto-monnaies nord-coréens est une dissimulation suffisamment bonne pour leur permettre de convertir les crypto-monnaies en monnaie fiduciaire assez rapidement et en toute sécurité pour éviter les interceptions par les bourses ou les forces de l'ordre. Comment une bourse de crypto-monnaies conforme peut-elle contrecarrer cette menace ? Si la bourse, grâce à son outil de blockchain intelligence , identifie une adresse comme étant contrôlée par un pirate, elle peut filtrer et rejeter les transactions provenant de cette adresse. Dans un scénario à évolution rapide comme une cyberattaque, il y a souvent un partage de données entre les enquêteurs des bourses pour établir une liste noire des adresses liées aux pirates en temps quasi réel.

Les cybercriminels de la RPDC privilégient la vitesse à l'obscurité

Lors d'un piratage de Gate.io en avril 2018 - une affaire dans laquelle le Department of Justice américainDOJ a inculpé et déposé une action de confiscation civile contre des cybercriminels de la RPDC - des pirates nord-coréens ont volé près de 230 millions de dollars d'actifs cryptographiques. Dans ce piratage spécifique, les acteurs nord-coréens ont programmé des "scripts automatisés pour blanchir et reconsolider rapidement les fonds volés dans les échanges avant de les transférer dans les portefeuilles affiliés à Lazarus", ce qui était évident en raison du grand nombre de transactions simultanées. Bien que nous ayons observé l'automatisation et d'autres techniques d'obscurcissement telles que les chaînes d'épluchage - une série de petites transactions de dispersion suivies d'une consolidation afin d'obscurcir les transactions plus importantes - la véritable clé de cette opération était de transformer la crypto-monnaie en monnaie fiduciaire aussi rapidement que possible, même au détriment de l'attribution future potentielle du piratage.

La clé pour Lazarus est, comme cela a été démontré à maintes reprises, de transformer rapidement les fonds en monnaie fiduciaire, qui peut être utilisée pour financer le régime et ses activités déstabilisatrices. Lazarus semble n'employer que le degré d'obscurcissement nécessaire pour atteindre cet objectif. Dans le piratage de KuCoin, sans doute le plus sophistiqué des trois piratages étudiés dans ce rapport, "les pirates nord-coréens ont choisi de ne pas utiliser les fonctions de préservation de l'anonymat de Tornado Cash, qui auraient exigé des frais de transaction, probablement parce qu'ils cherchaient à conserver la plus grande quantité d'Ethereum volé en vue d'une liquidation éventuelle".

Les cybercriminels nord-coréens sont devenus plus sophistiqués au fil du temps

Depuis l'attaque de 2018, les cybercriminels nord-coréens sont devenus plus sophistiqués dans le blanchiment sur chaîne. Ces améliorations se sont produites en même temps que la sophistication croissante des enquêteurs américains et d'Analyse Blockchain - et ont probablement été motivées par eux. Lors du piratage de DragonEx en 2019, Lazarus "a acheminé les crypto-actifs volés par l'intermédiaire de services de mixeur , ce qui suggère une connaissance accrue de l'environnement des crypto-monnaies et de ses outils". Alors que Lazarus a déployé des efforts considérables pour rendre anonymes les BTC volés lors du piratage du DragonEx, d'autres actifs, notamment Ethereum et TRON, n'ont été blanchis que dans une mesure minime.

Cette tendance s'est poursuivie avec le piratage de KuCoin en 2020, qui a entraîné le vol de diverses crypto-monnaies d'une valeur de 280 millions de dollars. Selon le rapport, "le blanchiment des actifs volés par KuCoin s'est nettement démarqué des opérations Lazarus précédentes. Au lieu des efforts d'obscurcissement partiellement désordonnés déployés lors des intrusions précédentes, les pirates nord-coréens ont cette fois fait preuve de plus de rigueur en employant plusieurs techniques avancées pour tenter d'obscurcir complètement leur activité". Plus précisément, le rapport explique que le groupe Lazarus a utilisé trois services de mixeur - dont Tornado Cash - pour laver les fonds volés et s'est engagé dans des protocoles financiers décentralisésDeFi afin d'obscurcir le flux de fonds sur la chaîne.

Même les cybercriminels nord-coréens bien entraînés commettent des erreurs - et ce n'est pas grave (pour eux)

Bien que chacune des attaques ait réussi à voler de la crypto-monnaie, des erreurs ont été commises qui pourraient être instructives pour les forces de l'ordre et les entreprises de crypto-monnaie, et il est clair que les acteurs de la RPDC sont relativement plus avancés dans le piratage que dans le blanchiment d'argent. Les blockchain intelligence TRM blockchain intelligence ont également indiqué que les acteurs de la RPDC étaient prêts à encaisser des actifs non BTC et non ETH sans anonymiser complètement leurs transactions, en évitant les services de mixeur et en n'utilisant que des méthodes simples pour tenter de liquider les fonds. Même dans le cas du piratage plus sophistiqué de KuCoin, les acteurs de la RPDC ont choisi de ne pas utiliser certaines fonctions d'anonymisation de Tornado Cash et, par conséquent, "les enquêteurs ont pu relier les retraits post-Tornado entre eux et, étant donné l'ampleur du vol de KuCoin, les relier en fin de compte au piratage initial".

Conclusion

Le rapport du CNAS est important en ce sens qu'il fournit une analyse des piratages, mais aussi qu'il utilise la CRT pour suivre et tracer les flux de fonds afin de montrer non seulement que les acteurs nord-coréens blanchissent des fonds, mais aussi comment ils le font par le biais d'un réseau de techniques de blanchiment d'argent de plus en plus sophistiquées sur la chaîne de valeur. Pourtant, l'objectif est simple : transférer les fonds volés de la bourse piratée vers des devises utilisables le plus rapidement possible. Tant que les cybercriminels de la RPDC et le régime qui les contrôle ne subiront aucune conséquence réelle pour ces vols, nous continuerons à les voir proliférer. Cependant, la nature de la blockchain permet aux enquêteurs de suivre et de tracer les flux de fonds, ce qui entraîne une course vers les bretelles de sortie. Les cybercriminels de la RPDC deviennent de plus en plus sophistiqués, tout comme les outils de blockchain intelligence nouvelle génération et les enquêteurs qui les utilisent.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
20 janvier 2022

Les acteurs de la menace nord-coréenne continuent de cibler les entreprises de crypto-monnaies

flèche vers la droite
18 février 2021

Faites attention à ce que vous téléchargez : Comment éviter une cyberattaque de la Corée du Nord

flèche vers la droite
8 février 2022

Les suspects accusés de blanchir des fonds volés à Bitfinex en 2016 sont arrêtés aujourd'hui à New York

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT