Peretas Lazarus menggunakan mixer baru untuk menyembunyikan $100 juta dalam kripto curian

Peretas Korea Utara telah menemukan jalan keluar dari sanksi yang diberlakukan AS untuk mencuci hasil cryptocurrency dari pencurian mereka, menurut bukti yang ditemukan oleh analis blockchain.

Grup Lazarus, sebagaimana pelaku ancaman biasanya disebut, telah mencuci sekitar $100 juta Bitcoin curian sejak Oktober 2022 melalui satu layanan pencampuran kripto yang disebut Sinbad.

Lazarus di belakang perampokan crypto besar

Tahun lalu, Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS mengumumkan sanksi terhadap layanan pencampuran cryptocurrency Blender dan Tornado Cash, yang digunakan Lazarus untuk mencuci hampir $500 juta dalam cryptocurrency yang diperoleh secara ilegal.

Tindakan itu diambil setelah lebih dari $600 juta dalam aset kripto dicuri dari jembatan lintas rantai Axie Infinity dalam peretasan yang kemudian dikaitkan dengan grup Lazarus Korea Utara.

Peretas sering menggunakan pencampur/tumbler cryptocurrency karena, dengan biaya tertentu, mereka mengizinkan penyembunyian asal dan pemilik dana dengan memadukan aset dari sejumlah besar pengguna.

Sementara sanksi OFAC tidak menghentikan Tornado Cash, mereka menghentikan Blender, yang operatornya menghilang setelah dilaporkan mengambil Bitcoin hampir $22 juta dari pencampur.

Menurut perusahaan analisis blockchain Berbentuk bulat panjangOperator Blender kemungkinan besar memulai pada awal Oktober 2022 sebuah layanan baru bernama Sinbad, yang digunakan oleh Lazarus untuk mencuci aset.

Beralih ke mixer baru

Tom Robinsonsalah satu pendiri Elliptic dan kepala ilmuwan, mengatakan kepada BleepingComputer bahwa koneksi tersebut muncul setelah pencurian ruang bawah tanah Harmony Horizon pada Juni 2022 yang menyebabkan kerugian sekitar $100 juta.

Segera setelah peretasan, Elliptic menemukan hubungan yang kuat dengan Lazarussesuatu yang FBI dikonfirmasi awal tahun inidengan mengikuti dana melalui layanan pencampuran Tornado Cash.

Biasanya, aktor menggabungkan pencampuran crypto Tornado Cash dengan layanan berbasis kustodian, seperti Blender. Namun kali ini, mereka menggunakan mixer Bitcoin lain bernama Sinbad.

Robinson mengatakan bahwa meskipun layanan Sinbad “relatif kecil”, itu telah digunakan untuk mencuci dana yang dicuri oleh kelompok Lazarus.

Tautan kuat antara mixer Blender dan Sinbad

Tidak seperti Tornado Cash, Blender dan Sinbad adalah pencampur kustodian, artinya semua mata uang kripto yang masuk ke layanan berada di bawah kendali operator; sehingga pemilik memiliki kepercayaan diri yang cukup untuk menyerahkan kendali atas dana mereka.

Analisis Elliptic menunjukkan dengan keyakinan tinggi bahwa Sinbad dioperasikan oleh individu atau kelompok yang sama yang berada di belakang Blender.

Para peneliti menemukan bahwa alamat “layanan” di situs Sinbad menerima Bitcoin dari dompet yang diyakini milik operator Blender.

Dompet yang sama digunakan untuk membayar promosi pencampur crypto baru dan untuk mendanai hampir semua transaksi awal yang datang ke Sinbad, sekitar $22 juta.

Selain dompet, para peneliti juga memperhatikan perilaku pola on-chain yang serupa untuk kedua mixer, yang mencakup karakteristik transaksi tertentu.

Kesamaan lain yang diamati oleh para peneliti termasuk kesamaan yang kuat di situs web, penggunaan konvensi penamaan, bahasa, dan “hubungan yang jelas dengan Rusia, dengan dukungan dan situs web berbahasa Rusia.”

Meskipun disebut sebagai satu kelompok, Lazarus mendefinisikan beberapa operator Korea Utara yang ditugaskan oleh pemerintah untuk mengumpulkan intelijen serta mencuri uang untuk mendukung prioritas dan tujuan tingkat nasional.

Selain menargetkan pertukaran cryptocurrency, aktor ancaman Korea Utara juga terlibat serangan ransomware menggunakan beberapa strain loker terhadap organisasi sektor kesehatan di AS dan Korea Selatan.