Les crypto-hackers de Lazarus de retour ? Une étude de Microsoft le laisse à croire

Lazarus est de retour – Malgré la baisse généralisée du marché, l’écosystème des cryptomonnaies est évalué à plusieurs centaines de milliards de dollars. Face à un tel montant, c’est un terrain de jeu pour les hackers et escrocs du monde entier. Parmi eux, le groupe de hackers nord-coréen continue de sévir. 

Microsoft dévoile un nouveau type d’attaque

Depuis leur création, les cryptomonnaies ont à de nombreuses reprises été liées à des activités criminelles. Dans un premier temps, celles-ci étaient surtout utilisées par les pirates dans le cas de logiciels malveillants de type ransomware.

hack scammers

Cependant, face à l’essor de l’écosystème, ce sont les projets et entreprises crypto qui ont commencé à être la cible de ces criminels. Que ce soit par l’intermédiaire d’escroqueries, l’exploitation de vulnérabilités ou encore via des attaques phishing, les cryptomonnaies sont fréquemment la cible d’utilisateurs malintentionnés. 

Dans une publication datée du 6 décembre, Microsoft dévoile un nouveau type d’attaque. Celle-ci a été perpétrée par une entité appelée DEV-0139 par Microsoft. 

Ce nouveau type d’attaque se déroule sur l’application Telegram. Ainsi, DEV-1039 rejoint des canaux de discussion Telegram, notamment ceux mis en place pour faciliter la communication entre clients VIP et plateformes d’échanges. Ces conversations sont un lieu idéal pour identifier des victimes potentielles.

Par la suite, l’attaquant se fait passer pour un représentant d’une société d’investissement spécialisée dans les cryptomonnaies. 

« En octobre 2022, il a invité une cible à un autre groupe de discussion et a fait semblant de lui demander son avis sur la structure tarifaire utilisée par les plateformes d’échange de cryptomonnaies. »

>> Pour vos achats crypto, inscrivez-vous sur la plateforme eToro (lien commercial) <<

Un malware déguisé en fichier Excel

Une fois la confiance de la victime acquise, DEV-0139 a envoyé un document Excel intitulé « OKX Binance & Huobi VIP fee comparison.xls ». Bien qu’à l’ouverture, le fichier semble tout à fait légitime, la réalité est tout autre. 

En effet, son ouverture déclenche une série d’actions malveillantes. Sans entrer dans le détail, ce simple fichier Excel permet à l’attaquant de télécharger d’autres fichiers sur la machine infectée. Une fois le processus finalisé, l’attaquant est en mesure de prendre le contrôle à distance de la machine infectée. 

Schéma d'explication du déroulement de l'attaque.
Schéma d’explication du déroulement de l’attaque.

En pratique, les malfaiteurs à l’origine de cette attaque ciblent majoritairement les fonds d’investissement crypto.

Le groupe Lazarus à l’origine de l’attaque ? 

En pratique, il semblerait que la méthode utilisée par DEV-0139 soit similaire à celle utilisée par le groupe de hacker nord-coréen Lazarus.

Ainsi, Volexity a récemment publié un rapport faisant état d’une variante du malware AppleJeus, tirant parti des documents Microsoft Office.

Selon leur enquête, le groupe Lazarus serait à l’origine de ce malware. Par conséquent, les similitudes entre les deux modes opératoires laissent à penser que Lazarus est également derrière l’attaque de DEV-0139.

Ces révélations laissent à penser que l’on aurait peut-être trouvé l’origine du hack de Bo Shen. En effet, cet employé du fonds d’investissement Fenbushi Capital s’était fait hacker de 42 millions de dollars


Les hacks sont des aléas malheureux, mais pas une fatalité. Tout investissement comporte un risque. En investisseur averti, vous avez fait vos propres recherches, et décidé de franchir le pas ? Les prix actuels sont l’occasion d’ajouter quelques satoshis dans votre wallet ! Pour ce faire, inscrivez-vous sur eToro (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour