1,5 milliard de dollars: qu'est-ce que Lazarus, le groupe de pirates nord-coréens auteur du casse du siècle?

Un braquage record sans arme ni explosif. Le groupe nord-coréen Lazarus sait s'illustrer dans des opérations de piratage impliquant des sommes d'argent colossales. Dernière en date, une opération visant la plateforme d'échange de cryptomonnaie Bybit basée à Dubaï. Elle leur a rapporté 400.000 Ethereum, la deuxième cryptomonnaie la plus utilisée soit "1,5 milliard de dollars". Le groupe nord-coréen a ainsi établi un nouveau record pour une attaque impliquant des cryptomonnaies, le précédent était de 620 millions de dollars sur la plateforme Ronin en 2022.

Un cyberacteur multi-récidiviste

Après plusieurs attaques d'ampleur, Lazarus reste une cible à abattre pour le secteur de la cybersécurité. Mais le groupe reste difficilement arrêtable puisqu'il est basé en Corée du nord. Le groupe de cybercriminel emprunte le nom à Lazare, personnage biblique ressuscité par Jésus. Le nom fait référence aux virus informatiques développés par le groupe réputés durs à éliminer selon des experts interrogés par la BBC.

Lazarus sévirait depuis 2009 selon la société de cybersécurité britannique NCC Group. Il s'est fait remarqué pour la première fois en 2014 en attaquant l'entreprise Sony Pictures Entertainment. Le 24 novembre de cette même année, les employés de l'entreprise qui essayaient de se connecter sur leur ordinateur tombaient sur un écran où il était marqué "Hacked by GOP" (traduit par "Hacké par les Gardiens de la Paix", un groupe formé de membres de Lazarus).

D'après le Los Angeles Times, le groupe Lazarus avait alors dérobé plusieurs films non sortis au cinéma, dont le film d'action "Fury" avec Brad Pitt. Plus inquiétant, les hackers se sont emparés des données confidentielles de l'entreprise. Elles incluaient notamment 47.000 numéros de sécurité sociale d'employés, anciens employés, fournisseurs et acteurs. Au total, l'attaque aura coûté entre 15 millions et 85 millions à Sony.

Autre fait marquant, en février 2016, Lazarus avait cette fois-ci dans son viseur la banque centrale du Bangladesh. Les voleurs avaient alors pour objectif de voler 1 milliard de dollars en détournant les systèmes informatiques de la banque raconte le Los Angeles Times. Ils ont minutieusement planifié cette attaque durant une année en s'infiltrant dans plusieurs ordinateurs de l'établissement. Le groupe avait alors extorqué près de 81 millions de dollars avant que les employés de la banque ne s'en rendent compte et mettent un terme aux transactions frauduleuses.

Une nouvelle cible très rémunératrice

Aussi nommé "Tradertraitor" par le FBI, le groupe Lazarus est suspecté d'entretenir des liens économiques avec le gouvernement nord-coréen. Après les banques et les entreprises, les pirates informatiques semblent désormais se focaliser sur les "organisations dans le secteur de la technologie blockchain et des cryptomonnaies", a déclaré le gouvernement américain.

"À l'aide de diverses plates-formes de communication, l'acteur encourage les individus à télécharger des applications de cryptomonnaie infectées sur Windows ou macOS. Les cyberacteurs utilisent ensuite ces applications pour accéder à l'ordinateur de la victime, propager des logiciels malveillants dans l'environnement réseau de la victime, voler des clés privées ou exploiter d'autres failles de sécurité", précise le FBI dans un communiqué.

Selon Chainalysis, les hackers liés à la Corée du Nord ont au total volé plus de 1,34 milliard de dollars au cours de 47 opérations sur des plateformes d'échange de cryptomonnaies sur l'ensemble de l'année 2024. Le même chiffre s'élevait à 660 millions en 2023, il a doublé en une année. Après l'attaque contre Bybit de ce 21 février 2025, le montant volé par des hackers nord-coréens sur ce type de plateforme dépasse déjà le montant total de 2024 en seulement une opération.

Suite à l'attaque de Bybit, le groupe de hackers "procède rapidement et a déjà converti une partie de la somme volée en Bitcoin et autres monnaies virtuelles", explique le FBI dans un communiqué. D'après le Guardian, l'ensemble de l'argent volé par le groupe Lazarus pourrait participer au programme d'armement nucléaire de la Corée du nord.