Lazarus Group : l'APT nord-coréen derrière les vols de crypto et les braquages bancaires

Qui est Lazarus Group

Lazarus Group (aussi référencé comme HIDDEN COBRA, APT38, ou Diamond Sleet) est un groupe de menace persistante avancée (APT) attribué au Bureau général de reconnaissance de la Corée du Nord. Actif depuis au moins 2009, il est responsable de certaines des cyberattaques les plus lucratives de l'histoire.

La particularité de Lazarus : ses opérations ont un objectif financier direct. Le régime nord-coréen utilise le cybercrime comme source de revenus pour contourner les sanctions internationales. Selon les Nations Unies, Lazarus a volé plus de 3 milliards de dollars en cryptomonnaies entre 2017 et 2023.

Opérations majeures

Bangladesh Bank (2016)

Lazarus a compromis le terminal SWIFT de la Banque centrale du Bangladesh et a initié des transferts frauduleux de 951 millions de dollars. 81 millions ont effectivement été transférés avant qu'une erreur de frappe dans un nom de bénéficiaire n'alerte une banque intermédiaire. L'attaque a exploité des vulnérabilités dans le réseau SWIFT et des faiblesses dans les contrôles internes de la banque.

WannaCry (2017)

Le ransomware WannaCry a touché plus de 200 000 ordinateurs dans 150 pays, exploitant la vulnérabilité EternalBlue (CVE-2017-0144) dans Windows SMB. L'attaque a paralysé le service national de santé britannique (NHS), des usines Renault et de nombreuses entreprises. L'attribution à Lazarus a été confirmée par le FBI, le GCHQ et Microsoft.

Ronin Network (2022)

Le plus grand vol de cryptomonnaies de l'histoire : 625 millions de dollars volés au bridge Ronin (Axie Infinity). Lazarus a compromis 5 des 9 validateurs du bridge en utilisant de l'ingénierie sociale via de fausses offres d'emploi LinkedIn envoyées aux développeurs de Sky Mavis.

Bybit (2025)

L'attaque contre la plateforme d'échange Bybit a permis le vol de 1,5 milliard de dollars en ETH. Les attaquants ont compromis l'infrastructure de gestion des cold wallets en ciblant les développeurs de la plateforme via des applications malveillantes.

Tactiques, techniques et procédures (TTP)

Accès initial : Lazarus utilise principalement l'ingénierie sociale, notamment de fausses offres d'emploi (Operation Dream Job). Les cibles sont des développeurs et des ingénieurs de l'industrie crypto. Les offres contiennent des documents piégés ou des liens vers des sites malveillants.

Outils : le groupe utilise des malwares personnalisés (AppleJeus pour les plateformes crypto, TraderTraitor pour macOS, ELECTRICFISH pour le tunneling) et des frameworks d'attaque sur mesure.

Persistance : installation de backdoors dans les systèmes de build, compromission de la supply chain logicielle, modification des outils de déploiement.

Exfiltration financière : conversion rapide des actifs volés via des mixers (Tornado Cash, Sinbad), des bridges cross-chain et des comptes mules.

Comment se protéger

Vérifiez les offres d'emploi. Si un recruteur LinkedIn vous demande d'installer une application ou d'ouvrir un document pour un "test technique", c'est probablement une attaque.

Séparez les environnements. Les développeurs qui ont accès aux systèmes critiques (wallets, clés de signature) ne doivent pas utiliser le même poste pour leur navigation quotidienne.

Gouvernance multi-signature. Les transactions de grande valeur doivent requérir plusieurs signatures indépendantes avec des canaux de validation séparés.

Surveillance des anomalies. Détectez les connexions inhabituelles, les modifications de configuration et les transferts atypiques.

Lazarus cible principalement les entreprises crypto et fintech. Si votre entreprise gère des actifs numériques, un audit de sécurité régulier est votre première ligne de défense. CleanIssue identifie les vecteurs d'attaque avant qu'ils ne soient exploités.