Dans la crypto-monnaie écosystème, les pièces ont une histoire, suivies dans les chaînes de blocs immuables qui sous-tendent leur économie. La seule exception, dans un certain sens, est la crypto-monnaie qui a été fraîchement générée par la puissance de calcul de son propriétaire. Il semble donc que les pirates nord-coréens ont commencé à adopter une nouvelle astuce pour blanchir les pièces qu’ils volent aux victimes du monde entier : payer leurs pièces sales et volées à des services qui leur permettent d’en extraire de nouvelles innocentes.
Aujourd’hui, la société de cybersécurité Mandiant a publié un rapport sur un prolifique groupe de piratage parrainé par l’État nord-coréen qu’il appelle désormais APT43, parfois connu sous les noms de Kimsuky et Thallium. Le groupe, dont les activités suggèrent que ses membres travaillent au service de l’agence d’espionnage du Bureau général de reconnaissance de la Corée du Nord, s’est principalement concentré sur l’espionnage, le piratage des groupes de réflexion, les universitaires et l’industrie privée des États-Unis vers l’Europe, la Corée du Sud et le Japon depuis à moins 2018, principalement avec des campagnes de phishing conçues pour recueillir les informations d’identification des victimes et installer des logiciels malveillants sur leurs machines.
Comme de nombreux groupes de hackers nord-coréens, APT43 maintient également une ligne de touche dans la cybercriminalité à but lucratif, selon Mandiant, volant toute crypto-monnaie qui peut enrichir le régime nord-coréen ou même simplement financer les propres opérations des hackers. Et alors que les régulateurs du monde entier ont resserré leur emprise sur les échanges et les services de blanchiment que les voleurs et les pirates utilisent pour encaisser des pièces entachées d’infractions criminelles, APT43 semble essayer une nouvelle méthode pour encaisser les fonds qu’il vole tout en les empêchant d’être saisis ou gelés : Il paie cette crypto-monnaie volée en «services de hachage» qui permettent à quiconque de louer du temps sur des ordinateurs utilisés pour exploiter la crypto-monnaie, en récoltant des pièces nouvellement extraites qui n’ont aucun lien apparent avec une activité criminelle.
Cette astuce de minage permet à APT43 de profiter du fait que la crypto-monnaie est relativement facile à voler tout en évitant la piste médico-légale des preuves qu’elle laisse sur les blockchains, ce qui peut rendre difficile l’encaissement des voleurs. “Cela brise la chaîne”, déclare Joe Dobson, analyste Mandiant Threat Intelligence. “C’est comme si un voleur de banque volait de l’argent dans un coffre-fort de banque, puis se rendait chez un mineur d’or et payait le mineur en argent volé. Tout le monde cherche l’argent pendant que le voleur de banque se promène avec de l’or frais et nouvellement extrait.
Mandiant dit qu’il a commencé à voir des signes de la technique de blanchisserie basée sur l’exploitation minière d’APT43 en août 2022. Depuis, des dizaines de milliers de dollars de chiffrement affluent vers des services de hachage, des services comme NiceHash et Hashing24, qui permettent à quiconque d’acheter et de vendre de la puissance de calcul. pour calculer les chaînes mathématiques appelées “hachages” qui sont nécessaires pour exploiter la plupart des crypto-monnaies – à partir de ce qu’il considère comme des portefeuilles cryptographiques APT43. Mandiant dit qu’il a également vu des montants similaires couler vers les portefeuilles APT43 à partir de “pools” miniers, des services qui permettent aux mineurs de contribuer leurs ressources de hachage à un groupe qui verse une part de toute crypto-monnaie que le groupe exploite collectivement. (Mandiant a refusé de nommer les services de hachage ou les pools de minage auxquels APT43 a participé.)
En théorie, les paiements de ces pools devraient être propres, sans aucun lien avec les pirates d’APT43 – cela semble, après tout, être le but de l’exercice de blanchiment du groupe. Mais dans certains cas de négligence opérationnelle, Mandiant dit avoir constaté que les fonds étaient néanmoins mélangés avec de la crypto dans des portefeuilles qu’il avait précédemment identifiés grâce à son suivi de plusieurs années des campagnes de piratage APT43.
