Egidio
Dossier · 2026

Réseaux criminels documentés : le cas Lazarus

Certaines fraudes ne sont pas artisanales — elles sont menées par des groupes structurés, documentés nommément par des agences fédérales et des entreprises de sécurité. Voici un cas particulièrement bien suivi.

Qui documente ce groupe

Le groupe connu sous le nom de Lazarus (dont un sous-groupe est identifié sous le nom "TraderTraitor") fait l'objet d'un suivi conjoint par plusieurs agences américaines et entreprises de sécurité, avec des communiqués publics nommés et datés — pas des rumeurs.

Avril 2022
Avis conjoint du FBI, de la CISA (agence de cybersécurité américaine) et du Trésor américain, attribuant les activités de TraderTraitor au groupe Lazarus.
2023
Le Département de la Justice américain annonce la saisie de plus de 15 millions de dollars de cryptoactifs volés par le groupe sur quatre plateformes d'échange.
Mai 2024
Vol de 308 millions de dollars sur la plateforme d'échange DMM Bitcoin — attribué à TraderTraitor par le FBI et la police nationale japonaise (NPA).
Fin 2024
Vol de 1,5 milliard de dollars sur la plateforme Bybit — attribution publique du FBI aux acteurs nord-coréens de TraderTraitor.
2025
Microsoft et Google Threat Intelligence / Mandiant documentent un volet distinct : des opérateurs se faisant passer pour de faux développeurs ou travailleurs indépendants à distance, infiltrant de vraies entreprises pour y voler des cryptoactifs ou de la propriété intellectuelle.
1,5 Md$
Vol attribué au groupe sur la plateforme Bybit, fin 2024.
FBI, attribution publique, fin 2024. Consulté le 14/07/2026.
308 M$
Vol sur la plateforme DMM Bitcoin, mai 2024.
FBI & police nationale japonaise (NPA), mai 2024. Consulté le 14/07/2026.

La méthode : infiltrer, pas seulement pirater

Ce qui distingue ce volet du groupe, c'est qu'il ne se contente pas d'attaquer de l'extérieur : des opérateurs se font embaucher comme de vrais employés ou prestataires — faux CV, fausse identité, entretiens passés avec succès — pour obtenir un accès légitime aux systèmes de l'entreprise. Une fois en poste, ils peuvent siphonner des fonds, voler de la propriété intellectuelle ou installer des outils malveillants.

Pourquoi ce cas compte, même sans lien direct avec votre boîte mail

La plupart des arnaques que reçoit un particulier n'ont aucun lien direct avec ce groupe précis. Mais ce cas illustre à quelle échelle la fraude organisée s'est structurée : ce ne sont plus des individus isolés, mais des filières avec des méthodes documentées, qui se diffusent ensuite vers des arnaques plus communes — faux recruteurs, ingénierie sociale, faux profils.

🔒 Que la menace vienne d'un groupe organisé ou d'un arnaqueur isolé, le principe reste le même pour vous protéger : repérer le schéma, pas seulement le message isolé. C'est exactement ce que fait Medusa, le moteur d'Egidio. Voir comment ça marche.

Questions fréquentes

Qui documente les activités du groupe Lazarus ?

Des organismes publics et privés nommément identifiés : le FBI, la CISA et le Trésor américain (avis conjoint), le Département de la Justice américain (saisies), ainsi que Microsoft et Google Threat Intelligence / Mandiant pour le volet infiltration d'entreprises.

Comment ce groupe s'introduit-il dans de vraies entreprises ?

En se faisant passer pour des développeurs ou des travailleurs indépendants à distance, avec de faux profils et de fausses identités, pour obtenir un accès légitime aux systèmes de l'entreprise employeuse.

Quel est le lien avec les arnaques que reçoit un particulier ?

Aucun lien direct pour la plupart des victimes de démarchage ou de phishing classique — mais ce cas illustre à quel point la fraude organisée est devenue une industrie structurée, avec des techniques (ingénierie sociale, faux profils) qui infusent ensuite vers des arnaques plus communes.

Pour aller plus loin