En 2025, chaque fois qu’un hack majeur éclate, le même nom revient dans les rapports post-mortem : Lazarus.
Lazarus, la signature invisible derrière les plus gros hacks
En 2025, chaque fois qu’un hack majeur éclate, le même nom revient dans les rapports post-mortem : Lazarus.
Le groupe soutenu par la Corée du Nord apparaît en tête des analyses d’incidents compilées par la société de cybersécurité sud-coréenne AhnLab entre octobre 2024 et septembre 2025, avec 31 mentions sur l’année.
Derrière les chiffres, la réalité est simple : ce sont eux qui, le plus souvent, sont soupçonnés d’avoir siphonné les fonds.
8/ Irys co-founder was hacked for ~$1.3M in July 2024 by Lazarus Group via email spear phishing campaign.
From the theft address 70.8 ETH was deposited to a privacy protocol and another 338 ETH shortly after on July 31st.
0x600cd901d0407753c212ed17d8c6cae014ee300eBy… pic.twitter.com/RZvePtNA73
— ZachXBT (@zachxbt) October 23, 2024
Leurs opérations ne se limitent plus à un secteur précis. Crypto, finance traditionnelle, IT, défense : les campagnes se superposent.
Il y a notamment le hack de 1,4 milliard de dollars de Bybit en février et l’attaque de 30 millions de dollars contre la plateforme sud-coréenne Upbit. Dans une large partie de ces cas, un même vecteur d’entrée est identifié.
Pas un 0-day hyper sophistiqué. Un email.
Comment le spear-phishing force la porte des systèmes
Le spear-phishing, c’est du phishing sous stéroïdes. Au lieu d’arroser des milliers d’adresses avec un faux mail de banque générique, l’attaquant choisit une cible précise, collecte des informations publiques, recoupe LinkedIn, X, sites d’entreprise, fuites de données.
Il apprend comment la personne écrit, qui sont ses interlocuteurs habituels, sur quels sujets elle est susceptible de répondre vite.
Une fois ce décor planté, le mail n’a plus rien d’absurde. Il peut venir d’un « journaliste » qui cite un vrai article passé, d’un « partenaire » qui mentionne un call réel, d’un « RH » qui renvoie à une offre d’emploi authentique.
Ce qui change tout, c’est le lien ou la pièce jointe : un document piégé, une page de login clonée, parfois un simple site qui installe un malware discret.
Entreprises : la défense périmétrique ne suffit plus
AhnLab insiste sur un point que beaucoup d’organisations préfèrent ignorer : on ne bloque pas Lazarus avec un simple antivirus et une formation annuelle PowerPoint.
Le rapport parle de « défense en couches », autrement dit, accepter que certaines attaques passeront la première barrière et prévoir ce qui se passe après.
Concrètement, cela veut dire revoir régulièrement ses configurations, ses accès, ses journaux d’audit. Appliquer les correctifs de sécurité sans attendre des mois.
Kimsuky used AI deepfake-generated ID cards via ChatGPT to impersonate a South Korean defense institution in an APT spear-phishing attack.https://t.co/15Tpl2AGHT#Kimsuky #ChatGPT #Deepfake pic.twitter.com/hjJuZlcQ53
— CyberWar – 싸워 (@cyberwar_15) September 14, 2025
Segmenter les réseaux pour qu’un compte compromis ne donne pas les clés de toute l’infrastructure. Surtout, former les équipes sur des scénarios réalistes : un mail très bien écrit envoyé au bon moment fera plus de victimes qu’un spam bourré de fautes.
Lazarus n’est pas seul. D’autres groupes liés à la Corée du Nord, comme Kimsuky, apparaissent 27 fois dans les rapports d’incidents analysés par AhnLab.
TA-RedAnt suit avec 17 mentions. Ce n’est plus une série de coups isolés, mais une activité quasi industrielle, où chaque campagne alimente la suivante en données volées, outils réutilisés et nouvelles pistes pour les attaquants.
Et, autant que possible, ne télécharger qu’à partir de canaux officiels. Ce n’est pas infaillible, mais cela élimine déjà une grande partie des tentatives opportunistes.
L’IA et les deepfakes, prochain étage de la fusée en 2026
Le point le plus inquiétant du rapport d’AhnLab ne concerne pas 2025, mais ce qui arrive juste derrière. Les analystes estiment que l’intelligence artificielle va faire passer le spear-phishing à un autre niveau.
Non pas en « inventant » de nouvelles attaques, mais en rendant celles qui existent aujourd’hui beaucoup plus efficaces.
Les modèles actuels savent déjà générer des mails propres, sans fautes, adaptés au ton d’une entreprise ou d’un secteur. Ils peuvent aussi produire rapidement des variantes de code pour contourner les moteurs de détection.
pretty convincing phishing scheme. always take a minute and think before plugging in a password. they almost got me pic.twitter.com/1tILjpatcy
— Casey Neistat (@Casey) December 14, 2024
AhnLab avertit surtout sur un glissement encore peu visible du grand public : l’usage de deepfakes dans des attaques ciblées, que ce soit pour usurper la voix d’un dirigeant, manipuler une visio ou voler des données via des prompts détournés.
Dans ce contexte, la frontière entre un mail suspect et une vraie demande interne devient plus floue. Un faux message vocal ou une vidéo synthétique ajoutée à un mail « urgent » pèse beaucoup plus lourd psychologiquement qu’un simple texte.
Le rapport parle d’attaques qui atteindront un niveau où l’œil humain seul ne suffira plus à repérer l’arnaque.
À lire aussi :
- Vols crypto : plus de 2 Md$ dérobés en 2025
- DeFi en alerte : le hack Balancer de 116 M$ révèle une attaque ultra-préparée
- France : Nouveau kidnapping lié aux cryptos dans la Drôme