Lazarus Group flyttar 8.5 miljoner dollar över tre blockkedjor

En del av de stulna pengarna till ett värde av 290 miljoner dollar från Alphapo, CoinsPaid, Atomic Wallet och Harmony flyttades över hundratals adresser.

Den statligt stödda nordkoreanska cyberbrottsgruppen Lazarus har kopplats till många storskaliga blockchain-exploater under de senaste åren. Nu har hackarna börjat konsolidera de stulna medlen från olika bedrifter för att tvätta dem genom decentraliserade nätverk.

Blockchain-spetsar zachXBT och tayvano hittade en direkt länk mellan krypton som dränerats från Harmony-bron, Atomic Wallet, CoinsPaid och Alphapo-hack, med den ackumulerade mängden stulna pengar som uppskattas till cirka 290 miljoner dollar.

Sättet som dessa attacker utfördes på, tillsammans med den efterföljande förflyttningen av stulna pengar till vissa plånböcker, gav blockkedjesäkerhetsexperter stark anledning att tro att Lazarus-gruppen låg bakom dem.

Genom att spåra medlen i kedjan fann de två forskarna att hackarna flyttade dessa medel till ett värde av 8.5 miljoner dollar över 300 adresser och tre olika blockkedjor.

För några nätter sedan, @zachxbt och jag snubblade på en galen direktlänk mellan medel stulna från Coinspaid/Alphapo <> Atomic Wallet <> Harmony.

I går kväll flög ~$8.5 miljoner av pengarna från Coinspaid/Alphapo (med några rester från Atomic Wallet) över 300+ addies på 3 kedjor.

😳 https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L

— Tay 💖 (@tayvano_) Augusti 3, 2023

Under loppet av fem timmar delade hackarna 4600 ETH över 125 nya Ethereum-adresser, innan de skickade dessa medel till Avalanche och sedan Bitcoin. Enligt tayvano finns 290 BTC på 125 Bitcoin-adresser, och var och en av dessa plånböcker rymmer mellan en och tre BTC. 

"Det mest fantastiska, under hela denna tvättstuga, fanns det totalt 514 txns som flyttade från antingen ETH->AVAX eller AVAX->BTC ​​via samma tjänster som användes för att tvätta ("tvätta") dessa stulna pengar. 500 txns flyttade stulna pengar från Alphapo/Coinspaid/Atomic Wallet", tayvvano sade på Twitter.

Kedjeforskaren noterade också att detta är femte gången Lazarus-gruppen har tvättat miljontals dollar under de senaste veckorna. 

Var hamnar dessa medel i slutändan? Enligt zachXBT går dessa medel till OTC-handlare på Tron-nätverket.

Vanligtvis nuförtiden slutar det med att gå till OTC på Tron

— ZachXBT (@zachxbt) Augusti 1, 2023

Tidigare i år, det amerikanska finansdepartementets kontor för kontroll av utländska tillgångar (OFAC) sanktione tre personer i Kina för att ha hjälpt till med Lazarus penningtvättsverksamhet. Två av dessa konspiratörer var OTC-kryptohandlare, baserade i Kina och Hongkong, som konverterade miljontals stulen krypto till fiatvaluta på uppdrag av Lazarus. Den tredje personen samordnade sedan med OTC-handlare för att stödja vapenproduktion och köpa varor på uppdrag av regeringen genom den OFAC-sanktionerade enheten Korea Kwangson Banking Corp (KKBC).