Le Groupe Lazarus
& le hack de Bybit

Février 2025 / 1,5 milliard de dollars en Ethereum
Présentation par [Prénom 1], [Prénom 2] et [Prénom 3]
2025 / 2026

Sommaire

  1. Qui est le Groupe Lazarus ?
  2. Historique des attaques majeures
  3. Le virage vers les cryptomonnaies
  4. Bybit : la cible
  5. Anatomie technique de l'attaque
  6. Impact sur le marché
  7. Réponse de Bybit et attribution
  8. Se protéger contre ce type d'attaque
  9. Enjeux géopolitiques
  10. Conclusion

Qui est le Groupe Lazarus ?

Groupe de hackers étatique lié à la Corée du Nord, actif depuis 2009.

Classé comme Advanced Persistent Threat (APT) par les agences de renseignement occidentales.

Rattaché au Reconnaissance General Bureau (renseignement militaire nord-coréen) et au Bureau 121, l'unité de cyberguerre.

Composé de deux sous-groupes principaux :

  • BlueNorOff (APT38) : opérations financières
  • AndAriel : espionnage ciblé sur la Corée du Sud

Alias connus

Hidden Cobra ZINC / Diamond Sleet APT38 Stardust Chollima Guardians of Peace NICKEL ACADEMY

Sources : MITRE ATT&CK G0032, US Treasury OFAC, Kaspersky

Historique des attaques majeures

  • 2009 Opération Troy : attaques DDoS contre la Corée du Sud
  • 2013 DarkSeoul : wiper contre banques et médias sud-coréens
  • 2014 Hack de Sony Pictures : vol de données, destruction de systèmes
  • 2016 Braquage de la Bangladesh Bank via SWIFT : 81 M$ volés
  • 2017 WannaCry : ransomware mondial, 200 000 machines dans 150 pays
  • 2022 Ronin Network (Axie Infinity) : 620 M$ en crypto
  • 2022 Horizon Bridge (Harmony) : 100 M$
  • 2023 Atomic Wallet : 100 M$, Stake.com : 41 M$
  • 2024 WazirX (Inde) : 235 M$
  • 2025 Bybit : 1,5 milliard de dollars

Sources : FBI, Chainalysis, Wikipedia

Le virage vers les cryptomonnaies

Pourquoi la crypto ?

  • Les sanctions internationales (ONU, USA, UE) bloquent les circuits financiers classiques
  • La blockchain offre un pseudo-anonymat exploitable avec des mixers et des bridges cross-chain
  • Les exchanges centralisées concentrent des milliards dans quelques wallets
  • Les smart contracts tiers représentent une surface d'attaque sous-estimée

Estimation des vols

> 3 Md$

volés en cryptomonnaies depuis 2017 par des groupes liés à la Corée du Nord.

Selon les estimations, les revenus issus du cybercrime représentent environ 50% des rentrées en devises étrangères de la RPDC.

Ces fonds financent directement les programmes nucléaire et balistique.

Sources : Chainalysis 2024 Crypto Crime Report, Nations Unies

Bybit : la cible

  • Fondée en 2018, basée à Dubai
  • 2e exchange mondial par volume de trading au moment de l'attaque
  • Environ 16 milliards de dollars d'actifs sous gestion
  • Des millions d'utilisateurs dans le monde
L'attaque a ciblé le cold wallet Ethereum de Bybit, le coffre-fort hors ligne censé être la couche de sécurité ultime.

Cold wallet vs Hot wallet

Hot Wallet
en ligne, rapide
←→
Cold Wallet
hors ligne, sécurisé

Un cold wallet nécessite plusieurs signatures (multisig) pour autoriser un transfert. En théorie, même si un signataire est compromis, les fonds restent protégés.

En théorie.

Anatomie de l'attaque (1/3)

Vecteur initial : Safe{Wallet}

Safe{Wallet} (anciennement Gnosis Safe) est un service tiers utilisé par Bybit pour gérer la signature multiple (multisig) de ses cold wallets.

Les attaquants ont compromis l'infrastructure de Safe{Wallet} elle-même, pas directement les systèmes de Bybit.

Lazarus
Safe{Wallet}
compromis
Interface de
signature Bybit
Signataires
Bybit

Les signataires de Bybit ont vu une interface apparemment légitime. Ils ont approuvé ce qui semblait être une transaction de routine, mais le contenu réel de la transaction avait été modifié côté serveur.

Source : CoinTelegraph, Février 2025

Anatomie de l'attaque (2/3)

Exploitation du smart contract

La fausse transaction approuvée par les signataires a modifié la logique du smart contract du cold wallet :

  1. Les signataires approuvent une transaction qui semble normale
  2. La transaction réelle modifie le implementation contract du proxy wallet
  3. La nouvelle logique donne le contrôle total à l'attaquant
  4. L'attaquant transfère ~400 000 ETH en une seule opération
~400 000 ETH

soit environ 1,5 milliard de dollars au cours du jour

C'est le plus gros vol de cryptomonnaies de l'histoire.

Anatomie de l'attaque (3/3)

Phase de blanchiment

Une fois les fonds transférés, les attaquants ont lancé un processus de blanchiment sophistiqué et rapide :

400K ETH
volés
Dispersion
multiples wallets
Mixers
Tornado Cash etc.
Bridges
cross-chain
Conversion
en BTC
  • Les fonds sont dispersés vers des centaines de wallets intermédiaires
  • Utilisation de mixers (protocoles de mélange) pour brouiller l'origine
  • Passage par des bridges cross-chain (Ethereum vers d'autres blockchains)
  • Conversion progressive en Bitcoin puis potentiellement en monnaie fiat via des exchanges non régulées
  • Utilisation de DEX (exchanges décentralisées) pour éviter le KYC

Impact sur le marché

Chute des cours

ETH : -20%

Ethereum a perdu plus de 20% de sa valeur dans les heures suivant l'annonce du hack.

BTC < 90K$

Le Bitcoin est passé sous la barre symbolique des 90 000 dollars.

Effets en chaîne

  • Ruée vers les retraits sur Bybit et d'autres exchanges
  • Plusieurs plateformes ont temporairement suspendu les retraits
  • Panique généralisée sur les marchés crypto
  • Les régulateurs de plusieurs pays ont ouvert des enquêtes sur la sécurité des exchanges
  • Remise en question de la fiabilité des solutions multisig tierces

Sources : CNA, CoinTelegraph, Février 2025

Réponse de Bybit

  • Détection rapide : l'incident a été identifié en quelques heures
  • Communication de crise : Bybit a publié des communiqués transparents dès le jour même
  • Bounty program : une prime a été offerte pour aider à tracer et récupérer les fonds
  • ZachXBT, analyste blockchain indépendant, a identifié le Groupe Lazarus comme responsable en quelques heures, via des patterns de transactions reconnaissables
  • Arkham Intelligence a confirmé l'attribution en traçant les wallets vers des adresses liées à des opérations précédentes de Lazarus
  • Le FBI a ensuite officiellement confirmé l'implication de la Corée du Nord
Bybit a déclaré être resté solvable tout au long de la crise et a annoncé avoir récupéré une partie des fonds volés.

Attribution à Lazarus

Comment sait-on que c'est eux ?

Indices techniques

  • Réutilisation de wallets liés à des hacks précédents (Axie Infinity, Horizon Bridge)
  • Patterns de blanchiment identiques : même séquence mixer/bridge/DEX
  • Infrastructure de commande et contrôle (C2) recoupée avec des opérations antérieures
  • Timing et méthodes cohérents avec le modus operandi de BlueNorOff

Confirmations officielles

  • ZachXBT : attribution publique en moins de 24h
  • Arkham Intelligence : analyse on-chain confirmant les liens
  • FBI : communiqué officiel confirmant l'implication de la RPDC
  • Chainalysis et Elliptic : rapports détaillés de traçage des fonds

L'attribution en cybersécurité est toujours délicate, mais le faisceau de preuves ici est particulièrement solide.

Comment se protéger ?

Pour les exchanges / entreprises

  • Auditer régulièrement les dépendances tierces (supply chain security)
  • Implémenter une approche zero-trust pour les outils de signature
  • Vérifier les transactions au niveau du hardware, pas seulement via une interface web
  • Déployer du monitoring on-chain en temps réel pour détecter les mouvements anormaux
  • Pratiquer des exercices de red team réguliers

Pour les utilisateurs individuels

  • Utiliser des hardware wallets (Ledger, Trezor) pour les fonds importants
  • Ne jamais laisser de grosses sommes sur un exchange
  • Activer l'authentification multi-facteurs (MFA) partout
  • Se méfier du phishing et de l'ingénierie sociale
  • Diversifier les lieux de stockage
La leçon principale de ce hack : la sécurité d'un système dépend aussi de celle de ses prestataires.

Enjeux géopolitiques

Financement étatique

Les fonds volés ne servent pas à enrichir des individus. Ils alimentent directement les programmes nucléaire et balistique de la Corée du Nord.

  • ~50% des revenus en devises de la RPDC proviendraient du cybercrime
  • Environ 1 700 membres dans la seule unité BlueNorOff
  • Formation des hackers à l'université Kim Chaek et au Mirim College, avec un passage à Shenyang (Chine)

Cyberguerre asymétrique

La Corée du Nord dispose de peu de ressources matérielles mais présente une menace asymétrique considérable dans le cyberespace.

  • Coût d'une opération cyber : faible
  • Rendement potentiel : milliards de dollars
  • Risque pour les opérateurs : minimal (juridiction nord-coréenne)
  • Difficulté d'attribution et de riposte pour les victimes

Les sanctions internationales sont contournées par le cyberespace.

Sources : US Army report 2020, Nations Unies, Recorded Future

Conclusion

  • Le Groupe Lazarus est l'une des menaces cyber les plus actives et les plus financièrement dévastatrices au monde
  • Le hack de Bybit (février 2025) est le plus gros vol de cryptomonnaies de l'histoire : 1,5 milliard de dollars
  • L'attaque a exploité une faiblesse dans un outil tiers (Safe{Wallet}), pas directement dans les systèmes de Bybit
  • La sécurité de la supply chain logicielle est un enjeu critique pour toute organisation
  • Le cybercrime étatique nord-coréen représente un défi géopolitique majeur, à l'intersection de la cybersécurité, de la finance et des relations internationales

En tant que futurs professionnels de l'informatique, comprendre ces attaques et les mécanismes de défense associés est essentiel, quelle que soit votre spécialisation.

Questions ?

echo "Merci de votre attention"

Sources principales

  • Wikipedia : Lazarus Group
  • CoinTelegraph : "How the Bybit hack happened" (mars 2025)
  • Arkham Intelligence : attribution Lazarus
  • FBI : communiqué officiel (février 2025)
  • Chainalysis : Crypto Crime Report 2024/2025
  • MITRE ATT&CK : G0032 Lazarus Group
  • US Army : "North Korean Tactics" (ATP 7-100.2, 2020)