À la suite de la brèche de données LastPass en 2022, la société de blockchain TRM Labs a relié plus de 35 millions de dollars en cryptomonnaies volées à des cybercriminels russes, détaillant un blanchiment sophistiqué via mixers et exchanges persistant jusqu'à fin 2025.
La société d'intelligence blockchain TRM Labs a approfondi son analyse de la brèche LastPass de 2022 —précédemment rapportée pour avoir permis des vols de crypto prolongés— révélant des liens directs avec des réseaux de cybercriminels russes. Le piratage du gestionnaire de mots de passe a exposé les coffres des utilisateurs, permettant des vidanges qui se sont poursuivies jusqu'à fin 2025.
Les attaquants ont masqué la trace à l'aide d'outils de confidentialité : convertissant les actifs en Bitcoin via des swaps instantanés, puis mélangeant via Wasabi Wallet et CoinJoin. TRM Labs a désanonymisé cela en utilisant une analyse comportementale, suivant les modèles de logiciels de portefeuilles et les empreintes numériques.
Les fonds ont finalement afflué vers des plateformes russes, y compris l'exchange sanctionnée Cryptex et Audi6 (7 millions de dollars déposés). Une 'signature on-chain cohérente' indique un seul groupe basé en Russie. Cela souligne le rôle des exchanges russes dans les finances illicites, évitant l'application mondiale des sanctions au milieu de menaces persistantes liées à l'État.