Den nordkoreanska hackergruppen Lazarus, ökänd för att ha utfört många storskaliga kryptovaluta-rån genom åren, har gått över till att använda Bitcoin-mixern YoMix för att tvätta stulna intäkter.
Lazarus anpassade sin tvättprocess efter att regeringar godkänt flera Bitcoin-blandningstjänster som används av angripare, enligt en rapport från blockkedjeanalysföretaget Chainaries.
Enligt företaget såg YoMix ett stort inflöde av medel under hela 2023, men det berodde inte på ökad popularitet, utan snarare på Lazarus aktivitet.
Lazarus tvättverksamhet
Även om kryptostöld är en mycket viktig del av Lazarus verksamhet, är det bara en aspekt av Lazarus verksamhet, som tros finansiera inte bara gruppens verksamhet utan även Nordkoreas vapenprogram.
Lazarus största stöldverksamhet för kryptovaluta de senaste åren inkluderar hacket Ronin Network (Axie Infinity) i mars 2022, vilket resulterade i 625 miljoner dollar i förluster, och Harmony-hacket i juni 2022, vilket resulterade i förluster på 100 miljoner dollar. Inklusive Horizon-hacket , och Alphapo-rån juli 2023. Där klarade sig hackarna med kryptovalutor till ett värde av 60 miljoner dollar.
Enligt en rapport från Recorded Future, från januari 2017 till december 2023, stal nordkoreanska hackergrupper inklusive Lazarus, Kimsky och Andariel uppskattningsvis 3 miljarder dollar i kryptovalutor.
Medlen passerade genom olika myntblandningstjänster som också accepterar insättningar från plånböcker som inte följer anti-tvättsbestämmelserna och har flaggats för misstänkt aktivitet.
Mixern studsar tillgångar genom ett obfuskerat nätverk av innehavare av kryptovaluta och tar emot dem i en ny plånboksadress där den ursprungliga attacken inte kan spåras.
Under åren har det amerikanska finansdepartementets Office of Foreign Assets Control (OFAC) identifierat och sanktionerat några av de plattformar som Lazarus använde för att tvätta sina intäkter, inklusive Blender, Tornado Cash och Sinbad.
Men varje gång en plattform licensierades och isolerades från kryptovalutautrymmet migrerade Lazarus till en ny plattform. Enligt Chainalysis är YoMix den senaste tjänsten som används av nordkoreanska hotaktörer.
Tvätttrender 2023
Chainalies rapporterade att YoMix upplevde en betydande ökning av medel under andra kvartalet 2023, som fortsatte till slutet av året, och tros främst bero på penningtvätt.
”Baserat på Chainalysis-data kommer ungefär en tredjedel av alla inflöden till YoMix från plånböcker förknippade med kryptovaluta-hack”, står det i rapporten.
”Tillväxten av YoMix och dess antagande av Lazarus Group är ett bra exempel på förmågan hos sofistikerade aktörer att anpassa sig och hitta ersättande förvirrande tjänster när tidigare populära tjänster stängs.” – Chainaracy
Chainalysis noterade också en trend av att penningtvättsaktivitet koncentrerades till ett fåtal fiat-avfartstjänster förra året, och sa att 71,7 % av alla olagliga medel riktades till bara fem tjänster.
Men på insättningsadressnivån blir penningtvätt mindre koncentrerad, vilket tyder på att brottslingar diversifierar sina aktiviteter för att undvika upptäckt och frysning av tillgångar av brottsbekämpande och efterlevnadsteam.
Andra höjdpunkter i rapporten inkluderar:
- Rapporterade belopp som skickades till tjänster från kryptoplånboksadresser uppgick till 22,2 miljarder USD 2023, en minskning från 31,5 miljarder USD 2022.
- År 2023 fick 109 växlingsdepositionsadresser vardera 10 miljoner dollar i illegala kryptovalutor, för totalt 3,4 miljarder dollar i illegala kryptovalutor.
- Förra året uppgick de medel som skickades till blandare från flaggade adresser till 504,3 miljoner USD, en minskning med 50 % från 1 miljard USD 2022.
- Användning av bryggor över kedjan visade en betydande ökning med 743,8 miljoner USD i kryptovaluta 2023 jämfört med 312,2 miljoner USD 2022.
BleepingComputer kontaktade YoMix för en kommentar om de tjänster som nordkoreanska hackare använder för att tvätta illegala pengar, men har ännu inte fått något svar.