Source: TRM Blog — TRM Labs publie une analyse on-chain retraçant des vols de crypto liés à la compromission de LastPass (2022) et leur blanchiment via des mixers jusqu’à des exchanges russes à haut risque.
TRM observe que des vagues de wallet drains en 2024–2025 proviennent de coffres LastPass chiffrés exfiltrés en 2022, certains maîtrisés par des mots de passe faibles. Les fonds volés sont majoritairement convertis en Bitcoin, déposés dans Wasabi (CoinJoin), puis retirés et envoyés vers des exchanges russes à risque. L’équipe a utilisé le démixage pour corréler dépôts et retraits et montrer une continuité opérationnelle pré et post-mix — malgré l’usage de CoinJoin — pointant des acteurs du cybercrime russes. 🔍
TRM estime qu’au moins 28 M$ ont été blanchis via Wasabi fin 2024–début 2025, puis ~7 M$ supplémentaires en septembre 2025. Les flux aboutissent notamment chez Cryptex (sanctionné par l’OFAC en 2024) et Audi6/Audia6, deux off-ramps associés aux écosystèmes cybercriminels en Russie. Les premiers retraits Wasabi ont eu lieu quelques jours après les drains, suggérant que les attaquants ont eux-mêmes initié le CoinJoin. 💸
L’analyse met en évidence une signature commune: import de clés Bitcoin volées dans le même logiciel de wallet (traits partagés comme SegWit et Replace-by-Fee), conversion rapide des actifs non-BTC via des services d’échange instantané, envoi vers des adresses à usage unique, dépôts Wasabi, puis retraits en grappes et chaînes de pelage vers des exchanges russes. Cette réutilisation d’infrastructures et de géographies renforce l’attribution vers un écosystème cybercriminel russe persistant. 🇷🇺
TRM souligne que le démixage, en s’appuyant sur des motifs comportementaux, le timing et les montants, ainsi que les destinations connues, révèle l’architecture opérationnelle — et que les mixers n’offrent pas une anonymisation robuste lorsque l’infrastructure est réutilisée au fil du temps. 🧩
IOCs et TTPs observés:
- Services et off-ramps: Wasabi Wallet (CoinJoin), Cryptex (sanction OFAC 2024), Audi6/Audia6, Cryptomixer.io (défunt), services d’échange instantané.
- Techniques: import de clés Bitcoin volées dans le même wallet logiciel, usage de SegWit et Replace-by-Fee, adresses à usage unique, retraits en grappes, chaînes de pelage, conversion d’actifs non-BTC vers BTC, off-ramp récurrent vers des exchanges russes.
- Montants et périodes: ~28 M$ (fin 2024–début 2025), ~7 M$ (septembre 2025), flux jusqu’en octobre 2025.
Type d’article: analyse de menace détaillant une campagne de blanchiment et l’efficacité du démixage pour révéler l’infrastructure et la géographie des acteurs.
🧠 TTPs et IOCs détectés
TTPs
Import de clés Bitcoin volées dans le même wallet logiciel, usage de SegWit et Replace-by-Fee, adresses à usage unique, retraits en grappes, chaînes de pelage, conversion d’actifs non-BTC vers BTC, off-ramp récurrent vers des exchanges russes.
IOCs
Wasabi Wallet (CoinJoin), Cryptex (sanction OFAC 2024), Audi6/Audia6, Cryptomixer.io (défunt), services d’échange instantané.
🔗 Source originale : https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement