Lazarus Group flytter 8.5 millioner dollar over tre blokkkjeder

Noen av 290 millioner dollar verdt av stjålne midler fra Alphapo, CoinsPaid, Atomic Wallet og Harmony ble flyttet over hundrevis av adresser.

Den statsstøttede nordkoreanske nettkriminalitetsgruppen Lazarus har vært knyttet til en rekke storskala blockchain-utnyttelser de siste årene. Nå har hackerne begynt å konsolidere de stjålne midlene fra forskjellige utnyttelser for å hvitvaske dem gjennom desentraliserte nettverk.

Blockchain-søkere zachXBT og tayvano funnet en direkte kobling mellom krypton tappet fra Harmony bridge, Atomic Wallet, CoinsPaid og Alphapo hacks, med den kumulative mengden stjålne midler anslått til rundt 290 millioner dollar.

Måten disse angrepene ble utført på, kombinert med den påfølgende flyttingen av stjålne midler til visse lommebøker ga blokkjedesikkerhetseksperter sterk grunn til å tro at Lazarus-gruppen sto bak dem.

Ved å spore midlene på kjeden fant de to forskerne at hackerne flyttet 8.5 millioner dollar av disse midlene over 300 adresser og tre forskjellige blokkjeder.

For noen netter siden, @zachxbt og jeg snublet over en gal direkte lenke mellom midler stjålet fra Coinspaid/Alphapo <> Atomic Wallet <> Harmony.

I går kveld gikk ~$8.5 millioner av midlene fra Coinspaid/Alphapo (med noen rester fra Atomic Wallet) på tvers av 300+ addies på 3 kjeder.

???? https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L

— Tay 💖 (@tayvano_) August 3, 2023

I løpet av fem timer delte hackerne 4600 ETH på 125 nye Ethereum-adresser, før de presset disse midlene til Avalanche, og deretter Bitcoin. I følge tayvano sitter 290 BTC i 125 Bitcoin-adresser, og hver av disse lommebokene har mellom én og tre BTC. 

"Mest utrolig nok, under hele denne klesvasken var det totalt 514 txns som flyttet fra enten ETH->AVAX eller AVAX->BTC ​​via de samme tjenestene som ble brukt til å hvitvaske ("hvitvaske") disse stjålne midlene. 500 txns flyttet stjålne midler fra Alphapo/Coinspaid/Atomic Wallet,» tayvvano sa på Twitter.

Forskeren på kjeden bemerket også at dette er femte gang Lazarus-gruppen har hvitvasket millioner av dollar de siste ukene. 

Hvor havner disse midlene til slutt? I følge zachXBT går disse midlene til over-the-counter (OTC)-handlere på Tron-nettverket.

Vanligvis i dag ender det opp med å gå til OTCs på Tron

— ZachXBT (@zachxbt) August 1, 2023

Tidligere i år sendte det amerikanske finansdepartementets kontor for kontroll av utenlandske aktiva (OFAC) sanksjonert tre personer i Kina for å ha hjulpet til med Lazarus' hvitvaskingsaktiviteter. To av disse konspiratørene var OTC-kryptohandlere, basert i Kina og Hong Kong, som konverterte millioner av stjålet krypto til fiat-valuta på vegne av Lazarus. Den tredje personen koordinerte deretter med OTC-handlerne for å støtte våpenproduksjon og kjøpe varer på vegne av regjeringen gjennom den OFAC-sanksjonerte enheten Korea Kwangson Banking Corp (KKBC).