Réseau de blanchiment d'argent russe dévoilé ! Enquête sur le vol de 35 millions de dollars chez LastPass

La société d’information sur la blockchain TRM Labs a récemment publié un rapport d’enquête, traçant le vol de plus de 35 millions de dollars en cryptomonnaies depuis des utilisateurs de LastPass, finissant par alimenter un réseau de blanchiment d’argent contrôlé par des cybercriminels russes. Cette affaire trouve son origine dans la fuite de données de 2022 de LastPass, où des hackers ont dissimulé les flux financiers à l’aide de protocoles de confidentialité et de services de mixage, mais ont finalement été déchiffrés.

Du LastPass aux chemins de blanchiment d’argent vers les échanges russes

(Source : TRM Labs)

L’enquête de TRM Labs révèle que le réseau de blanchiment russe adopte une stratégie de nettoyage de fonds à plusieurs niveaux. Les attaquants convertissent d’abord divers actifs numériques volés dans les portefeuilles cryptographiques des utilisateurs de LastPass, via des services de change instantané, en Bitcoin. Cette opération simplifie le traitement ultérieur et exploite la forte liquidité et l’anonymat du Bitcoin pour préparer la phase suivante de mixage.

Une fois la conversion effectuée, les hackers déposent par lots leurs Bitcoins sur des plateformes de mixage telles que Wasabi Wallet et CoinJoin. Ces outils regroupent les fonds de plusieurs utilisateurs, puis réorganisent les transactions complexes pour brouiller la relation entre l’origine et la destination des fonds. En théorie, cette technique rend la traçabilité des flux impossible, chaque sortie pouvant provenir de plusieurs entrées différentes.

Cependant, le rapport de TRM Labs indique que les techniques de mixage présentent des vulnérabilités structurelles exploitables. En identifiant des « caractéristiques cohérentes en chaîne », les analystes ont découvert que ces transactions apparemment dispersées provenaient en réalité du même groupe organisé. Les attaquants réutilisent fréquemment certains logiciels de portefeuille pour importer leurs clés privées, une empreinte technique clé pour le suivi. De plus, leur comportement avant et après le mixage montre une continuité évidente, permettant aux enquêteurs de « séparer » les transactions de mixage et de suivre la véritable circulation des fonds sous protocole de confidentialité.

Finalement, les fonds traités par mixage sont déposés dans des échanges de cryptomonnaies en Russie. Le principal plateforme de réception est Cryptex, qui est actuellement sous sanctions de l’OFAC, et sert spécifiquement l’écosystème criminel en ligne russe. En outre, les enquêteurs ont identifié environ 7 millions de dollars de fonds volés transférés vers Audi6, une autre plateforme de services de change active dans le réseau de blanchiment russe.

Le rôle des infrastructures de blanchiment sur les plateformes russes

L’enquête de TRM Labs met en lumière le rôle systémique des plateformes de cryptomonnaies russes dans la criminalité en ligne mondiale. Ces échanges ne sont pas de simples prestataires de services passifs, mais construisent activement une infrastructure criminelle.

Le rapport souligne notamment que les portefeuilles interagissant avec des mixeurs présentent des « liens opérationnels » avec la Russie avant et après le processus de blanchiment. Cela indique que les hackers ne se contentent pas de louer des infrastructures tierces, mais mènent directement leurs activités en Russie. De l’architecture technique aux flux financiers, tout le réseau de blanchiment est enraciné dans l’underground de la cybercriminalité russe, formant un modèle hautement professionnel et organisé.

Le fait que Cryptex soit sous sanctions de l’OFAC illustre la volonté du gouvernement américain de lutter contre le réseau de blanchiment russe. Cependant, l’impact réel de ces sanctions est limité, car ces plateformes servent principalement des utilisateurs locaux russes et d’autres entités évitant les sanctions, avec une dépendance très faible au marché international. La présence d’Audi6 et d’autres plateformes montre que, même si certains échanges sont sanctionnés, le réseau russe de blanchiment peut rapidement établir des canaux alternatifs.

Les trois fonctions principales du blanchiment sur les plateformes russes

Offrir une sortie de liquidité instantanée : Les échanges russes permettent une conversion rapide des cryptomonnaies volées en monnaie fiduciaire ou autres actifs difficiles à tracer.

Éviter la surveillance réglementaire internationale : Ces plateformes ne respectent généralement pas les normes KYC (Know Your Customer) et AML (Anti-Money Laundering), offrant une protection d’anonymat pour les fonds criminels.

Créer un écosystème fermé : Du service de mixage à la conversion finale, le réseau russe de blanchiment forme une chaîne industrielle complète, permettant aux hackers de réaliser tout le processus sans recourir aux échanges internationaux.

Les avancées en technologie de preuve blockchain pour percer le brouillard du mixage

Le succès de TRM Labs dans le suivi du réseau russe de blanchiment repose sur la technique d’« analyse de la continuité comportementale ». La blockchain traditionnelle se base sur la traçabilité via des graphes de transactions, mais l’introduction de mixeurs a brouillé cette relation directe. L’innovation de TRM Labs consiste à analyser les modèles comportementaux plutôt que des transactions isolées, en identifiant des empreintes numériques que les hackers ne peuvent totalement effacer.

Concrètement, les analystes ont découvert que la façon dont les attaquants importent leurs clés privées dans les portefeuilles lors du transfert de fonds volés possède des caractéristiques uniques. Les détails techniques de traitement des clés privées varient selon les logiciels, laissant des traces traçables sur la chaîne. De plus, leur comportement en termes de timing, de fractionnement des fonds et de fréquence des transactions montre des motifs cohérents, permettant de regrouper des centaines d’adresses de portefeuilles apparemment sans lien en un seul groupe criminel.

Le rapport indique qu’à la fin de 2025, les criminels continueront de voler des actifs dans le coffre-fort LastPass compromis. Cela montre que l’impact de la fuite de 2022 n’est pas terminé, certains victimes conservant leurs clés privées sous contrôle des hackers. La persistance du réseau russe de blanchiment indique que tant que ces infrastructures financières illégales existeront, la cybercriminalité pourra continuer à en tirer profit.

Cette affaire a des implications profondes pour la régulation des cryptomonnaies et l’industrie de la cybersécurité mondiale. Elle prouve que même les technologies de confidentialité les plus avancées ne peuvent totalement contrer l’analyse blockchain professionnelle, tout en révélant la réalité que la Russie sert de refuge mondial pour la cybercriminalité. Pour les utilisateurs, il est conseillé d’activer toutes les fonctionnalités de sécurité disponibles lors de l’utilisation d’un gestionnaire de mots de passe, et de changer régulièrement leurs clés privées de portefeuille cryptographique pour éviter de devenir victimes d’une fuite de données prolongée.