Origines et histoire du groupe Lazarus
L’existence du groupe Lazarus remonte officiellement à 2009, bien que certains experts estiment qu’il pourrait être actif depuis 2007.
Ses premières attaques ciblaient principalement des institutions sud-coréennes et américaines. Il est rattaché au Bureau général de reconnaissance de Corée du Nord, un organe d’espionnage militaire, et agit sous plusieurs alias, dont Hidden Cobra, APT38, et Guardians of Peace.
Le piratage de Sony (2014)
L’une des premières apparitions médiatiques de Lazarus remonte à 2014, lors du hack de Sony Pictures. L’entreprise américaine avait prévu de sortir le film The Interview, une satire mettant en scène un assassinat fictif de Kim Jong-un.
En représailles, Lazarus a lancé une cyberattaque massive, infiltrant les systèmes internes de Sony plusieurs mois avant l’attaque principale. Ils ont volé des données sensibles, notamment des courriels internes, des informations confidentielles sur les employés et des films inédits.
En plus de la publication de ces informations, ils ont utilisé un malware destructeur, effaçant des fichiers critiques et paralysant les serveurs de Sony. L’attaque a coûté entre 15 et 85 millions de dollars à l’entreprise et a mis en lumière l’ampleur de la menace que représentait Lazarus.
Le casse de la banque du Bangladesh (2016)
En 2016, Lazarus a tenté de voler 1 milliard de dollars à la banque centrale du Bangladesh en exploitant une vulnérabilité du réseau SWIFT, utilisé pour les transactions bancaires internationales.
Pendant plusieurs mois, les hackers ont infiltré les systèmes de la banque et ont planifié minutieusement leur attaque. Ils ont envoyé 35 ordres de transfert frauduleux à la Réserve fédérale de New York, demandant des virements vers des comptes fictifs aux Philippines et au Sri Lanka. Par un coup de chance pour la banque, une erreur de syntaxe dans l’un des ordres a éveillé les soupçons, ce qui a permis d’annuler la majorité des transferts.
Toutefois, 81 millions de dollars ont quand même été volés, un montant qui a mis en évidence la capacité de Lazarus à exécuter des opérations complexes impliquant des institutions financières de premier plan.
Le ransomware WannaCry (2017)
En 2017, Lazarus est accusé d’avoir propagé WannaCry, un ransomware d’une ampleur mondiale. Exploitant une faille de sécurité Windows connue sous le nom d’EternalBlue, initialement découverte par la NSA puis divulguée par le groupe Shadow Brokers, Lazarus a diffusé ce ransomware à grande échelle.
Plus de 200 000 ordinateurs dans 150 pays ont été infectés, paralysant des infrastructures critiques telles que les hôpitaux du NHS au Royaume-Uni, des entreprises multinationales et des organismes gouvernementaux.
Les victimes voyaient leurs fichiers chiffrés et ne pouvaient les récupérer qu’en payant une rançon en Bitcoin. Bien que les gains financiers directs soient estimés à 150 000 dollars, l’impact global des dommages s’est élevé à plusieurs milliards de dollars, entraînant des interruptions massives et des pertes économiques considérables. L’attaque a marqué un tournant dans la reconnaissance de Lazarus en tant que menace mondiale.
L’ère des attaques crypto : Lazarus et la finance décentralisée
Depuis 2017, le groupe Lazarus s’est tourné massivement vers les cryptomonnaies. Le secteur DeFi, en pleine expansion, représente une cible idéale en raison de ses infrastructures encore peu régulées et des milliards de dollars qui y transitent.
L’absence de surveillance stricte et la complexité des transactions blockchain offrent à Lazarus un terrain de jeu idéal pour orchestrer des vols d’une ampleur inédite.
Le hack de Ronin (2022) : 620 millions de dollars volés
En mars 2022, Lazarus cible Ronin Bridge, un protocole utilisé par le jeu Axie Infinity, un phénomène mondial attirant des millions d’utilisateurs.
Profitant d’une faille dans le système de validation des transactions, le groupe compromet cinq des neuf validateurs du réseau, ce qui leur permet d’approuver des transactions frauduleuses. Ils parviennent ainsi à détourner 173 600 ETH et 25,5 millions d’USDC, soit une somme colossale de 620 millions de dollars.
L’attaque est découverte près d’une semaine plus tard, ce qui laisse aux hackers le temps de disperser et blanchir les fonds. Cet événement met en lumière la vulnérabilité des ponts inter-chaînes, outils clés de l’écosystème DeFi, et reste le plus grand hack de l’histoire des cryptomonnaies jusqu’à l’attaque de Bybit.
L’année 2024 : une intensification des attaques avec 1,34 milliard de dollars volés
Selon une étude de Chainalysis, Lazarus a dérobé plus de 1,34 milliard de dollars en 2024, à travers 47 attaques distinctes sur des plateformes d’échange crypto. Cette somme représente le double de leurs gains en 2023, démontrant l’accélération et l’amélioration de leurs techniques d’intrusion.
Parmi leurs attaques les plus notables, on trouve plusieurs hacks de plateformes centralisées, des vols de clés privées par phishing, et des compromissions de smart contracts vulnérables. Leur efficacité croissante montre leur capacité à identifier et exploiter les failles avec une précision redoutable.
Le hack de Bybit (2025) : un record absolu dans l’histoire de la cryptomonnaie
Le 21 février 2025, Bybit, l’un des principaux exchanges crypto, subit le plus grand piratage jamais enregistré. Lazarus exploite une faille critique dans la plateforme Safe, un système de gestion multi-signature utilisé pour protéger les cold wallets des grandes entreprises.
En manipulant l’interface de signature, les hackers trompent les opérateurs de Bybit en leur faisant valider une transaction redirigeant les fonds vers des adresses inconnues.
L’attaque se déroule en quelques minutes : 400 000 ETH et d’autres actifs sont détournés, totalisant 1,5 milliard de dollars. Les fonds volés sont ensuite blanchis avec une rapidité déconcertante via Tornado Cash et plusieurs bridges cross-chain, notamment sur Tron et Solana, avant d’être convertis en Bitcoin.
Cette attaque dépasse tous les records précédents et met en lumière les faiblesses des infrastructures de sécurité des exchanges centralisés, qui peinent à détecter et stopper ce type d’opération sophistiquée.
Comment Lazarus opère-t-il ?
Lazarus emploie une stratégie multi-facette qui combine ingénierie sociale, exploitation de failles, attaque d’infrastructures critiques et blanchiment de fonds sophistiqué.
Phishing et malwares avancés : Le groupe crée des sites web frauduleux imitant ceux d’entreprises légitimes et envoie des e-mails piégés à des employés ciblés. Une fois les malwares installés, ils prennent le contrôle des systèmes et exfiltrent des données sensibles.
Exploitation de vulnérabilités systèmes : Ils recherchent et exploitent activement des failles dans les infrastructures informatiques des banques, exchanges et entreprises de la blockchain.
Attaques sur les validateurs et smart contracts : En ciblant les systèmes de validation des transactions et les contrats intelligents mal sécurisés, ils orchestrent des transferts frauduleux de plusieurs millions de dollars.
Blanchiment de fonds : Lazarus utilise des mixers (comme Tornado Cash), des bridges cross-chain, et des échanges OTC (hors marché réglementé) pour masquer l’origine des fonds volés et compliquer leur traçabilité.
Utilisation des cryptomonnaies pour financer la Corée du Nord : Selon les autorités américaines, une grande partie des fonds sert à financer le programme nucléaire nord-coréen et d’autres initiatives militaires secrètes.
Qui sont-ils vraiment ?
L’identité exacte des membres du groupe Lazarus demeure un mystère. Toutefois, plusieurs hypothèses permettent d’éclairer leur fonctionnement et leur origine.
Selon les renseignements occidentaux, Lazarus serait composé de hackers d’élite recrutés dès leur plus jeune âge par le régime nord-coréen. Ces individus sont formés dans des institutions spécialisées comme l’Université Kim Il-Sung ou l’Université de technologie de Pyongyang, où ils apprennent à maîtriser la programmation avancée, la cybersécurité et l’ingénierie sociale.
Les hackers de Lazarus sont considérés comme des agents d’État, opérant sous l’autorité du Bureau général de reconnaissance, le service de renseignement militaire nord-coréen. Contrairement aux cybercriminels classiques qui agissent pour un profit personnel, les membres de Lazarus servent un objectif bien précis : financer les programmes militaires et nucléaires de la Corée du Nord. Ils ne sont pas seulement des pirates informatiques, mais des soldats du cyberespace engagés dans une guerre économique mondiale.
Certains rapports suggèrent que les membres de Lazarus ne résident pas tous en Corée du Nord. Pour éviter les sanctions et traquer des cibles plus efficacement, ils seraient stationnés dans divers pays, notamment en Chine, en Russie, en Malaisie et en Inde.
Cela leur permet de contourner certaines restrictions d’accès à Internet et d’accéder à des infrastructures plus performantes. De plus, le groupe aurait des liens avec des réseaux criminels internationaux, qui les aident à blanchir l’argent volé en échange d’une commission.
Le mode opératoire de Lazarus démontre un niveau de discipline extrême et une hiérarchie bien établie. Contrairement aux groupes de hackers anarchiques opérant sur le Dark Web, Lazarus fonctionne comme une véritable organisation militaire, avec des divisions spécialisées : certaines équipes sont dédiées aux attaques sur les banques, d’autres aux escroqueries via les cryptomonnaies, et certaines unités s’occupent uniquement de la dissimulation des traces et du blanchiment des fonds. Ce professionnalisme extrême fait de Lazarus une menace cybernétique unique et particulièrement difficile à neutraliser.
Lutte contre Lazarus et perspectives d’avenir
Face à la menace grandissante de Lazarus, les gouvernements et entreprises renforcent leurs protocoles de cybersécurité. Interpol, le FBI et plusieurs exchanges crypto ont mis en place des collaborations pour tracer et récupérer les fonds volés. Bybit, par exemple, a lancé un programme de chasse aux primes incitant les utilisateurs à signaler les transactions suspectes.
Certaines plateformes comme Tether et Circle ont déjà gelé des millions de dollars liés à des transactions suspectes. Cependant, Lazarus semble inarrêtable. Son financement d’État, ses connexions internationales et ses techniques avancées en font l’un des groupes les plus dangereux de la cybersécurité moderne.
Avec des attaques de plus en plus complexes et une cible claire sur le secteur crypto, une question demeure : quelle sera leur prochaine victime ?
Sources : WikiPedia, Guardia.school, cointelegraph
