Le Groupe Lazarus
& le hack de Bybit

Fevrier 2025 / 1,5 milliard de dollars en Ethereum
Presentation par [Prenom 1], [Prenom 2] et [Prenom 3]
2025 / 2026

Sommaire

  1. Qui est le Groupe Lazarus ?
  2. Historique des attaques majeures
  3. Le virage vers les cryptomonnaies
  4. Bybit : la cible
  5. Anatomie technique de l'attaque
  6. Impact sur le marche
  7. Reponse de Bybit et attribution
  8. Se proteger contre ce type d'attaque
  9. Enjeux geopolitiques
  10. Conclusion

Qui est le Groupe Lazarus ?

Groupe de hackers etatique lie a la Coree du Nord, actif depuis 2009.

Classe comme Advanced Persistent Threat (APT) par les agences de renseignement occidentales.

Rattache au Reconnaissance General Bureau (renseignement militaire nord-coreen) et au Bureau 121, l'unite de cyberguerre.

Compose de deux sous-groupes principaux :

  • BlueNorOff (APT38) : operations financieres
  • AndAriel : espionnage cible sur la Coree du Sud

Alias connus

  • Hidden Cobra (Dept. Homeland Security)
  • ZINC / Diamond Sleet (Microsoft)
  • APT38 (Mandiant)
  • Stardust Chollima (CrowdStrike)
  • Guardians of Peace
  • NICKEL ACADEMY (Secureworks)

Sources : MITRE ATT&CK G0032, US Treasury OFAC, Kaspersky

Historique des attaques majeures

  • 2009 Operation Troy : attaques DDoS contre la Coree du Sud
  • 2013 DarkSeoul : wiper contre banques et medias sud-coreens
  • 2014 Hack de Sony Pictures : vol de donnees, destruction de systemes
  • 2016 Braquage de la Bangladesh Bank via SWIFT : 81 M$ voles
  • 2017 WannaCry : ransomware mondial, 200 000 machines dans 150 pays
  • 2022 Ronin Network (Axie Infinity) : 620 M$ en crypto
  • 2022 Horizon Bridge (Harmony) : 100 M$
  • 2023 Atomic Wallet : 100 M$, Stake.com : 41 M$
  • 2024 WazirX (Inde) : 235 M$
  • 2025 Bybit : 1,5 milliard de dollars

Sources : FBI, Chainalysis, Wikipedia

Le virage vers les cryptomonnaies

Pourquoi la crypto ?

  • Les sanctions internationales (ONU, USA, UE) bloquent les circuits financiers classiques
  • La blockchain offre un pseudo-anonymat exploitable avec des mixers et des bridges cross-chain
  • Les exchanges centralisees concentrent des milliards dans quelques wallets
  • Les smart contracts tiers representent une surface d'attaque sous-estimee

Estimation des vols

> 3 Md$

voles en cryptomonnaies depuis 2017 par des groupes lies a la Coree du Nord.

Selon les estimations, les revenus issus du cybercrime representent environ 50% des rentrees en devises etrangeres de la RPDC.

Ces fonds financent directement les programmes nucleaire et balistique.

Sources : Chainalysis 2024 Crypto Crime Report, Nations Unies

Bybit : la cible

  • Fondee en 2018, basee a Dubai
  • 2e exchange mondial par volume de trading au moment de l'attaque
  • Environ 16 milliards de dollars d'actifs sous gestion
  • Des millions d'utilisateurs dans le monde

L'attaque a cible le cold wallet Ethereum de Bybit, le coffre-fort hors ligne cense etre la couche de securite ultime.

Cold wallet vs Hot wallet

Hot Wallet
en ligne, rapide
←→
Cold Wallet
hors ligne, securise

Un cold wallet necessite plusieurs signatures (multisig) pour autoriser un transfert. En theorie, meme si un signataire est compromis, les fonds restent proteges.

En theorie.

Anatomie de l'attaque (1/3)

Vecteur initial : Safe{Wallet}

Safe{Wallet} (anciennement Gnosis Safe) est un service tiers utilise par Bybit pour gerer la signature multiple (multisig) de ses cold wallets.

Les attaquants ont compromis l'infrastructure de Safe{Wallet} elle-meme, pas directement les systemes de Bybit.

Lazarus
Safe{Wallet}
compromis
Interface de
signature Bybit
Signataires
Bybit

Les signataires de Bybit ont vu une interface apparemment legitime. Ils ont approuve ce qui semblait etre une transaction de routine, mais le contenu reel de la transaction avait ete modifie cote serveur.

Source : CoinTelegraph, Fevrier 2025

Anatomie de l'attaque (2/3)

Exploitation du smart contract

La fausse transaction approuvee par les signataires a modifie la logique du smart contract du cold wallet :

  1. Les signataires approuvent une transaction qui semble normale
  2. La transaction reelle modifie le implementation contract du proxy wallet
  3. La nouvelle logique donne le controle total a l'attaquant
  4. L'attaquant transfere ~400 000 ETH en une seule operation
~400 000 ETH

soit environ 1,5 milliard de dollars au cours du jour

C'est le plus gros vol de cryptomonnaies de l'histoire.

Anatomie de l'attaque (3/3)

Phase de blanchiment

Une fois les fonds transferes, les attaquants ont lance un processus de blanchiment sophistique et rapide :

400K ETH
voles
Dispersion
multiples wallets
Mixers
Tornado Cash etc.
Bridges
cross-chain
Conversion
en BTC
  • Les fonds sont disperses vers des centaines de wallets intermediaires
  • Utilisation de mixers (protocoles de melange) pour brouiller l'origine
  • Passage par des bridges cross-chain (Ethereum vers d'autres blockchains)
  • Conversion progressive en Bitcoin puis potentiellement en monnaie fiat via des exchanges non-regulees
  • Utilisation de DEX (exchanges decentralisees) pour eviter le KYC

Impact sur le marche

Chute des cours

ETH : -20%

Ethereum a perdu plus de 20% de sa valeur dans les heures suivant l'annonce du hack.

BTC < 90K$

Le Bitcoin est passe sous la barre symbolique des 90 000 dollars.

Effets en chaine

  • Ruee vers les retraits sur Bybit et d'autres exchanges
  • Plusieurs plateformes ont temporairement suspendu les retraits
  • Panique generalisee sur les marches crypto
  • Les regulateurs de plusieurs pays ont ouvert des enquetes sur la securite des exchanges
  • Remise en question de la fiabilite des solutions multisig tierces

Sources : CNA, CoinTelegraph, Fevrier 2025

Reponse de Bybit

  • Detection rapide : l'incident a ete identifie en quelques heures
  • Communication de crise : Bybit a publie des communiques transparents des le jour meme
  • Bounty program : une prime a ete offerte pour aider a tracer et recuperer les fonds
  • ZachXBT, analyste blockchain independant, a identifie le Groupe Lazarus comme responsable en quelques heures, via des patterns de transactions reconnaissables
  • Arkham Intelligence a confirme l'attribution en tracant les wallets vers des adresses liees a des operations precedentes de Lazarus
  • Le FBI a ensuite officiellement confirme l'implication de la Coree du Nord

Bybit a declare etre reste solvable tout au long de la crise et a annonce avoir recupere une partie des fonds voles.

Attribution a Lazarus

Comment sait-on que c'est eux ?

Indices techniques

  • Reutilisation de wallets lies a des hacks precedents (Axie Infinity, Horizon Bridge)
  • Patterns de blanchiment identiques : meme sequence mixer/bridge/DEX
  • Infrastructure de commande et controle (C2) recoupee avec des operations anterieures
  • Timing et methodes coherents avec le modus operandi de BlueNorOff

Confirmations officielles

  • ZachXBT : attribution publique en moins de 24h
  • Arkham Intelligence : analyse on-chain confirmant les liens
  • FBI : communique officiel confirmant l'implication de la RPDC
  • Chainalysis et Elliptic : rapports detailles de tracage des fonds

L'attribution en cybersecurite est toujours delicate, mais le faisceau de preuves ici est particulierement solide.

Comment se proteger ?

Pour les exchanges / entreprises

  • Auditer regulierement les dependances tierces (supply chain security)
  • Implementer une approche zero-trust pour les outils de signature
  • Verifier les transactions au niveau du hardware, pas seulement via une interface web
  • Deployer du monitoring on-chain en temps reel pour detecter les mouvements anormaux
  • Pratiquer des exercices de red team reguliers

Pour les utilisateurs individuels

  • Utiliser des hardware wallets (Ledger, Trezor) pour les fonds importants
  • Ne jamais laisser de grosses sommes sur un exchange
  • Activer l'authentification multi-facteurs (MFA) partout
  • Se mefier du phishing et de l'ingenierie sociale
  • Diversifier les lieux de stockage

La lecon principale de ce hack : la securite d'un systeme depend aussi de celle de ses prestataires.

Enjeux geopolitiques

Financement etatique

Les fonds voles ne servent pas a enrichir des individus. Ils alimentent directement les programmes nucleaire et balistique de la Coree du Nord.

Estimations :

  • ~50% des revenus en devises de la RPDC proviendraient du cybercrime
  • Environ 1 700 membres dans la seule unite BlueNorOff
  • Formation des hackers a l'universite Kim Chaek et au Mirim College, avec un passage a Shenyang (Chine)

Cyberguerre asymetrique

La Coree du Nord dispose de peu de ressources materielles mais presente une menace asymetrique considerable dans le cyberespace.

  • Cout d'une operation cyber : faible
  • Rendement potentiel : milliards de dollars
  • Risque pour les operateurs : minimal (juridiction nord-coreenne)
  • Difficulte d'attribution et de riposte pour les victimes

Les sanctions internationales sont contournees par le cyberespace.

Sources : US Army report 2020, Nations Unies, Recorded Future

Conclusion

  • Le Groupe Lazarus est l'une des menaces cyber les plus actives et les plus financierement devastatrices au monde
  • Le hack de Bybit (fevrier 2025) est le plus gros vol de cryptomonnaies de l'histoire : 1,5 milliard de dollars
  • L'attaque a exploite une faiblesse dans un outil tiers (Safe{Wallet}), pas directement dans les systemes de Bybit
  • La securite de la supply chain logicielle est un enjeu critique pour toute organisation
  • Le cybercrime etatique nord-coreen represente un defi geopolitique majeur, a l'intersection de la cybersecurite, de la finance et des relations internationales

En tant que futurs professionnels de l'informatique, comprendre ces attaques et les mecanismes de defense associes est essentiel, quelle que soit votre specialisation.

Questions ?

Merci de votre attention.

Sources principales

  • Wikipedia : Lazarus Group
  • CoinTelegraph : "How the Bybit hack happened" (mars 2025)
  • Arkham Intelligence : attribution Lazarus
  • FBI : communique officiel (fevrier 2025)
  • Chainalysis : Crypto Crime Report 2024/2025
  • MITRE ATT&CK : G0032 Lazarus Group
  • US Army : "North Korean Tactics" (ATP 7-100.2, 2020)