La plate-forme de commerce électronique de crypto-monnaie Bitrefill a déclaré avoir été la cible d’une cyberattaque au début du mois qui a entraîné un vol de fonds et une exposition limitée des données des clients, avec des indicateurs pointant vers le groupe Lazarus, lié à la Corée du Nord, comme auteur probable.
La violation, qui a débuté le 1er mars, provenait d’un ordinateur portable compromis d’un employé, selon le rapport d’incident de l’entreprise.
Les attaquants ont pu extraire les informations d’identification héritées liées aux systèmes de production, leur permettant d’augmenter l’accès à l’ensemble de l’infrastructure de Bitrefill, y compris à des segments de sa base de données interne et à certains portefeuilles chauds de crypto-monnaie.
Bitrefill a déclaré que les attaquants ont drainé un montant non divulgué de fonds de ses portefeuilles chauds tout en exploitant ses systèmes d’inventaire de cartes-cadeaux pour effectuer des achats suspects auprès des fournisseurs. La société n’a pas précisé l’impact financier total mais a déclaré qu’elle absorberait les pertes en utilisant le capital opérationnel.
L’intrusion a été détectée pour la première fois grâce à des habitudes d’achat irrégulières et à des anomalies dans l’activité des fournisseurs.
En réponse, Bitrefill a temporairement mis ses systèmes hors ligne pour contenir la violation dans l’ensemble de ses opérations mondiales. La société a déclaré que les services, y compris les paiements et l’accès aux comptes, étaient depuis revenus à des niveaux normaux.
Dans le cadre de l’attaque, environ 18 500 enregistrements d’achats ont été consultés. Les données exposées comprennent les adresses e-mail, les adresses de paiement en crypto-monnaie et les métadonnées telles que les adresses IP.
Environ 1 000 de ces enregistrements impliquaient des noms de clients cryptés, qui sont traités comme potentiellement exposés en raison de la possibilité que des attaquants aient accédé aux clés de cryptage. Bitrefill a déclaré avoir informé directement les utilisateurs concernés.
Malgré la violation, la société a souligné qu’elle stockait un minimum de données personnelles et n’exigeait pas de vérification obligatoire de la connaissance de votre client pour la plupart des transactions. Toutes les informations liées au KYC sont traitées par des fournisseurs externes et ne sont pas stockées dans les systèmes de Bitrefill. L’entreprise a ajouté qu’il n’y avait aucune preuve que l’intégralité de sa base de données avait été exfiltrée ou que les données des clients étaient la cible principale.
« Sur la base de notre enquête et de nos journaux, nous n’avons aucune raison de penser que les données des clients étaient l’objectif », a déclaré la société, notant que les attaquants semblaient mener des requêtes limitées cohérentes avec la recherche d’actifs de valeur tels que les avoirs en crypto-monnaie et l’inventaire des cartes-cadeaux.
Le groupe nord-coréen Lazarus était impliqué
Bitrefill a cité plusieurs indicateurs liant l’attaque au groupe Lazarus, notamment des similitudes dans les logiciels malveillants, l’infrastructure réutilisée telle que les adresses IP et les comptes de messagerie, et les modèles de transactions en chaîne.
Le groupe, souvent associé à la Corée du Nord, a été lié à certains des plus grands vols de cryptomonnaies de ces dernières années par l’intermédiaire de son sous-groupe spécialisé, Bluenoroff.
Des sociétés de cybersécurité, notamment ZeroShadow, SEAL911 et RecoverisTeam, ont contribué à la réponse et à l’enquête, aux côtés d’analystes en chaîne et des forces de l’ordre. La société a déclaré qu’elle mettait en œuvre des mesures de sécurité supplémentaires, notamment des systèmes de surveillance et des contrôles internes étendus, pour prévenir des incidents similaires.
L’attaque met en évidence les inquiétudes persistantes concernant les cybermenaces parrainées par l’État dans le secteur des actifs numériques.
Selon la société d’analyse de blockchain Chainalysis, des groupes liés à la Corée du Nord étaient responsables de plus de 2 milliards de dollars de vols de cryptomonnaies en 2025, ce qui représente une part importante de l’activité illicite totale dans l’espace.
Bitrefill a déclaré que les opérations se sont stabilisées après l’incident et a exprimé sa confiance dans son rétablissement, notant que l’activité des clients et les volumes de ventes sont revenus à leurs niveaux habituels.