« Un voleur peut dormir repu de pain volé, mais un jour les flammes brûleront son lit. »
— Saadi Shirazi, La Roseraie (Gulistan), 1258
Selon le rapport 2025 de TRM Labs sur la criminalité liée aux cryptomonnaies, le volume des transactions illicites en cryptomonnaies a atteint au moins 45 milliards de dollars en 2024. Bien que cette somme astronomique englobe toutes les formes de criminalité numérique, y compris le commerce sur le darknet, le contournement des sanctions et l'extorsion en ligne pure et simple, la cybercriminalité demeure l'un de ses moteurs les plus puissants. Chainalysis estime que, dans ce contexte, les opérateurs de Rançongiciels ont extorqué à eux seuls environ 813 millions de dollars à leurs victimes en 2024, soit une baisse de 35 % par rapport au record de 1.25 milliard de dollars collectés en 2023. Pour la première fois depuis 2022, les revenus liés aux Rançongicielss ont diminué, une évolution qui reflète probablement l'efficacité croissante des opérations des forces de l'ordre, lesquelles ont démantelé plusieurs grands groupes russophones tels que LockBit.
Bien que les revenus générés par les rançongiciels aient diminué, le mystère qui entoure les cybercriminels russophones et les entreprises proposant des services de rançongiciels reste plus vivace que jamais. Ces acteurs continuent de captiver l'attention mondiale, non seulement en raison de leur sophistication technique, mais aussi à cause d'un discours médiatique persistant et souvent sensationnaliste qui les présente comme omniprésents et invincibles.
Au-delà des rançongiciels, les acteurs malveillants russophones tirent profit d'un large éventail d'activités criminelles. Ils facilitent l'accès initial aux réseaux compromis, exploitent des services d'hébergement hautement sécurisés, développent et distribuent des logiciels malveillants. voleurs d'infos Des entreprises comme Lumma et RedLine revendent des identifiants volés sur des marchés clandestins tels que Russian Market, organisent des escroqueries à grande échelle aux investissements en cryptomonnaies et facilitent le trafic de drogue en ligne. Chacune de ces activités génère des revenus illicites substantiels qui doivent être blanchis avant de pouvoir être dépensés sans risque juridique ni financier.
Cette image du « hacker russe » fastueux et intouchable a été largement façonnée par les avis de recherche, les déclarations des forces de l'ordre, les conversations divulguées et les reportages sensationnalistes. Maksim Yakubets, chef présumé d'Evil Corp, en est un exemple frappant : il est devenu l'emblème de ce récit après avoir étalé sa richesse, notamment en conduisant une Lamborghini personnalisée avec une plaque d'immatriculation où l'on pouvait lire « VOLEUR » en russe.
Figure 1. Maksim Yakubets parle à un policier devant sa Lamborghini personnalisée.
Alors que M. Yakubets incarnait ce stéréotype par une ostentation démesurée, des acteurs plus récents l'ont renforcé par l'ampleur et la structure de leurs actions plutôt que par le spectacle. Des figures telles que Vitaly Kovalev, identifié par les autorités allemandes comme Stern, ont joué un rôle central dans les opérations de Rançongiciels Trickbot et Conti, qui auraient extorqué des centaines de millions de dollars à des victimes du monde entier. De même, Dmitry Khoroshev (alias LockBitSupp) et Oleg Nefedov (alias Tramp), les cerveaux présumés derrière LockBit et Basta noir respectivement, se sont imposés comme des architectes centraux de RaaS modèle, coordination d'opérations à l'échelle industrielle et mise en place d'infrastructures de blanchiment d'argent à grande échelle qui leur ont permis, ainsi qu'à leurs affiliés, de convertir des gains illicites en bénéfices réels tout en évitant toute exposition directe.
Pourtant, malgré la visibilité et la notoriété de ces noms, il est important de se rappeler qu’ils représentent une « élite » restreinte au sein d’un écosystème beaucoup plus vaste.
En réalité, la plupart des acteurs du paysage cybercriminel russophone opèrent à une échelle bien plus réduite. Et même pour les quelques-uns qui réussissent, transformer les profits tirés des cryptomonnaies en argent propre et disponible, sans attirer l'attention des autorités ni solliciter une « protection » indésirable, représente souvent la partie la plus difficile et la plus risquée de l'opération. Cela exige non seulement de la patience et des compétences techniques, mais aussi une planification méticuleuse, des opérations de façade et une parfaite compréhension des systèmes financiers, suffisamment complexes pour déconcerter même les entrepreneurs légitimes.
Cet article explore les méthodes employées par les cybercriminels russophones pour blanchir leurs gains. À l'instar de la série Breaking Bad, le véritable défi commence souvent une fois l'argent engrangé. Non pas avec l'arrivée fracassante des forces de l'ordre, mais avec la lente et fastidieuse prise de conscience que transformer des cryptomonnaies « sales » en revenus propres et utilisables implique de se confronter aux systèmes mêmes que les cybercriminels cherchaient à contourner. Pour beaucoup, cela suppose de naviguer dans des méandres fiscaux obscurs, de créer des sociétés écrans et de simuler une activité commerciale légitime, souvent au prix d'impôts considérables. Dans un monde bâti sur l'évasion fiscale et l'anonymat, devoir respecter les règles peut s'avérer la partie la plus pénible de l'opération.
Points clés et observations sur le blanchiment d'argent des acteurs terroristes russophones
- La plupart des cybercriminels n'ont pas besoin d'un blanchiment à grande échelle : La plupart de ces acteurs opèrent avec des profits modestes qu'ils dépensent en espèces ou redistribuent via des drops. Seul un groupe restreint d'acteurs de haut niveau, tels que les opérateurs de Rançongiciels, les développeurs de logiciels malveillants et les administrateurs de places de marché, génère des revenus suffisamment importants pour nécessiter des procédures complètes de blanchiment et de légalisation.
- Le nettoyage des cryptomonnaies n'équivaut pas à une légalisation des revenus : Le fait de dissimuler l'origine des fonds via des services de mixage ou d'échange peut masquer des traces sur la blockchain, mais ne rend pas l'argent légalement utilisable. La légalisation exige la conversion des gains illicites en revenus pouvant être déclarés, investis ou dépensés ouvertement, sans attirer l'attention.
- L'obfuscation et les retraits d'argent sont largement accessibles et structurés : Les services de mixage, les portefeuilles anonymisants et les plateformes d'échange sans vérification d'identité sont facilement accessibles. Au moins 44 services sont actifs sur les principaux forums russophones, proposant des échanges de cryptomonnaies, du mixage et des transferts d'argent liquide dans la CEI, en Europe et au Moyen-Orient. Des dépôts sous séquestre, généralement autour de 100 000 $, sont utilisés pour instaurer la confiance des clients, et de nombreux services opèrent sous plusieurs marques appartenant aux mêmes groupes.
- La légalisation est la phase la plus difficile et la plus délicate : Transformer des cryptomonnaies illicites en revenus légaux nécessite une interaction avec le système financier. Si de nombreux acteurs malveillants abordent cette étape sur les forums, les guides détaillés restent rares. Ceux qui y parviennent ont tendance à garder leurs méthodes secrètes en raison des risques juridiques encourus.
- Les stratégies de blanchiment combinent des structures commerciales structurées et des stratagèmes improvisés : La création d'entreprises et l'injection de fonds illicites comme revenus apparents constituent l'approche la plus couramment évoquée pour blanchir des revenus. Ces opérations sont souvent facilitées par des services clandestins proposant de faux documents et la création de sociétés offshore. Certains acteurs investissent également dans l'immobilier par le biais de transactions informelles, notamment dans les pays du Moyen-Orient où la réglementation est laxiste. D'autres ont recours à des tactiques improvisées telles que la vente de NFT, la simulation de gains aux casinos ou la fabrication de fausses déclarations d'héritage.
- La légalisation représente une vulnérabilité potentielle pour les acteurs sophistiqués : Même les cybercriminels les plus compétents techniquement se méprennent souvent sur les subtilités de la régularisation des revenus. Nombre d'entre eux sous-estiment les risques liés aux impôts, aux contrôles et à la conformité. Comme l'a souligné LockBitSupp, dépenser de l'argent illégal est ce qui peut attirer l'attention des forces de l'ordre. Cette dernière étape oblige les acteurs à interagir avec des systèmes juridiques et bureaucratiques qu'ils cherchent généralement à éviter.
Nettoyer et encaisser ses cryptomonnaies : l'étape facile
Le moment tant attendu est enfin arrivé. Une victime malheureuse d'un Rançongiciels a payé la rançon pour rétablir ses services. Un portefeuille de cryptomonnaies a été vidé après avoir été volé par un pirate informatique à un utilisateur naïf qui avait installé un jeu vidéo prétendument piraté. Les identifiants bancaires d'une personne âgée ont été dérobés suite à une erreur de manipulation. phishing page du site web de leur banque. Dans chaque cas, un cybercriminel a réussi à tirer profit d'une activité malveillante.
En dehors des activités illicites comme le carding, la plupart des gains issus de la cybercriminalité sont généralement convertis en cryptomonnaies telles que le Bitcoin, le Monero ou autres. Mais une fois cette conversion effectuée, une question cruciale se pose : comment convertir ces cryptomonnaies en toute sécurité en monnaie légale et utilisable ?
La première étape la plus courante pour les cybercriminels motivés par le gain financier consiste à « nettoyer » les cryptomonnaies en les échangeant sur une plateforme d'échange ou en utilisant un service de mixage (ou de blanchiment), qui masque l'origine des cryptomonnaies en mélangeant les fonds de plusieurs utilisateurs, rendant ainsi plus difficile le traçage de leur provenance et de leur destination. Cependant, ce qui semble logique pour la plupart des cybercriminels est parfois totalement ignoré par d'autres, même les plus expérimentés et les plus prospères.
Par exemple, en 2023, un affilié de LockBit nommé Ruslan Magomedovich Astamirov a été arrêté aux États-Unis parce qu'il recevait le produit de rançons directement sur un portefeuille lié à son identité.
Figure 2. Schéma simplifié des sources de revenus illicites. Source : Cybercrime Diaries/Flare
Blanchiment de cryptomonnaies pour tous : aucune question dans le milieu clandestin russophone
Les cybercriminels les moins naïfs utilisent des portefeuilles, des plateformes d'échange ou des services de mixage axés sur la confidentialité, que l'on trouve sur le réseau Tor, sur le web classique et sur les forums de cybercriminels.
Un exemple célèbre de ce type de service était Tornado Cash mixer, qui était largement utilisé pour blanchir des cryptomonnaies volées avant d'être sanctionné par le Trésor américain en 2022. Actuellement, sur les principaux forums de cybercriminalité en langue russe, un nombre important de ces services sont annoncés par des acteurs malveillants spécialisés dans les cryptomonnaies et les transferts d'argent.
En mai 2025, au moins 44 plateformes d'échange proposant des services de nettoyage de cryptomonnaies, et dans la plupart des cas des options de retrait, étaient activement promues sur des forums de premier plan tels qu'Exploit, XSS et DarkMoney, spécialisé dans la fraude financière. Il est à noter que la majorité de ces services étaient également présents sur d'autres forums importants, notamment les communautés liées aux drogues comme RuTor, Probiv, axé sur la fraude, et les communautés de cybercriminels en général comme LolzTeam, parmi tant d'autres.
Figure 3. Plateformes d'échange, services de mixage et de retrait de fonds acceptant les cryptomonnaies actuellement actifs sur XSS, Exploit et DarkMoney. Source : Cybercrime Diaries/Flare
Alors que certains services existent depuis plus de dix ans, de nouveaux continuent d'apparaître chaque année. La plupart disparaissent rapidement, seuls quelques-uns, réputés et performants, parvenant à se maintenir au-delà de leurs premières années. C'est le cas, par exemple, de l'écosystème BulletProof Hosting, que nous avons présenté dans un article précédent. Déchiffrer l'infrastructure de Black Basta à partir de la fuite de conversationsPlusieurs plateformes d'échange et de mixage, apparemment sans lien entre elles, sont en réalité contrôlées par un même groupe de cybercriminels. Le recours à ces marques multiples constitue une stratégie commerciale délibérée visant à maximiser la visibilité, à attirer différents segments de clientèle et à accroître la rentabilité globale.
Pour opérer sur les principaux forums de cybercriminalité russophones, les plateformes d'échange, de mixage et de retrait de fonds doivent déposer une somme importante en cryptomonnaie ou en monnaie fiduciaire sur le système de séquestre du forum. Ce dépôt sert de garantie de solvabilité en cas de litige avec les clients. Les montants déposés varient de 4 000 $ à 300 000 $ sur un même forum, avec une moyenne d'environ 100 000 $ (soit environ 1 BTC).
Tous les services étudiés comprennent parfaitement que la majorité de leurs clients sont des cybercriminels souhaitant blanchir des cryptomonnaies obtenues illégalement, souvent avec des scores élevés en matière de lutte contre le blanchiment d'argent (LCB). Nous avons contacté plusieurs d'entre eux en nous faisant passer pour un client potentiel ayant reçu une somme importante de Bitcoins suite à une rançon obtenue par un rançongiciel ; cela n'a posé aucun problème.
Extrait anonymisé et traduit d'une discussion avec un opérateur de change :
Testeur d'intrusion :
Bonjour, j'ai vu votre profil sur [un forum russophone connu sur la cybercriminalité]. J'ai besoin de conseils et d'aide concernant le retrait et le blanchiment de mes gains. Je viens de recevoir 10 BTC pour une mission de test d'intrusion et je ne sais pas quelle est la meilleure façon de les convertir en Russie.
Service populaire d'échange/de mixage/de retrait d'espèces :
Bonjour.
Virements par carte à partir de 30 000 RUB : frais d’environ 3.5 % + 4 % pour les fonds « illicites ».
- Livraison par coursier à partir de 3 millions de roubles / 30 000 $ : frais d'environ 2.8 % + 4 % pour les envois « sales »
- Code QR Tinkoff à partir de 400 000 RUB : frais d’environ 8.5 % + 4 % pour « code sale »
Si la source est signalée en rouge (c'est-à-dire, sur liste noire), toute mention entraîne des frais supplémentaires de 10 %. Il en va de même pour les mentions jaunes « Plateforme à haut risque » supérieures à 50 %.
Je peux assurer la livraison par coursier.
Vous payez d'abord. Une fois le paiement reçu, je passe la commande et nous convenons du lieu et de l'heure. La livraison prend généralement entre 2 et 5 heures, mais peut être plus longue en cas de surcharge des livreurs. Le retrait est sécurisé par un jeton.
Le jeton est un billet de banque, quelle que soit sa devise et sa valeur, indiquant le numéro de série. Vous m'envoyez une photo du billet et vous l'apportez au rendez-vous pour prouver que vous en êtes le destinataire.
Bien que les plateformes de mixage et d'échange illicites puissent donner une illusion d'anonymat et de sécurité, une simple infection par un logiciel malveillant voleur d'informations peut compromettre l'ensemble d'une opération d'obfuscation et de blanchiment. Même si le système infecté ne contient aucune donnée personnelle sensible de l'attaquant, comme lors de l'utilisation d'une machine virtuelle hébergée sur un service d'hébergement sans vérification d'identité (KYC), la présence d'identifiants de connexion à une plateforme d'échange illicite dans les journaux peut révéler quels services ont été utilisés et par qui.
Certains de ces échanges illicites ont créé leurs propres sites web pour faciliter les transactions. Comme pour tout service en ligne, une infection par un logiciel espion peut entraîner le vol d'identifiants de connexion, de cookies de session et d'historique de navigation, autant d'informations susceptibles d'apparaître ultérieurement sur des chaînes Telegram spécialisées et des marchés clandestins.
En fait, lors de l'analyse Base de données de Flare, nous avons identifié un nombre important d'utilisateurs infectés par des voleurs d'informations et dont de fichiers cleptogiciels Les identifiants d'accès à ces plateformes d'échange et de mixage illicites ont été inclus. Ceci offre un aperçu précieux des services spécifiques d'obfuscation, de nettoyage et de retrait de cryptomonnaies utilisés par différents utilisateurs ou entités. Cela crée également une opportunité unique de cartographier les relations entre ces services et les personnes qui y ont recours, malgré la conception des systèmes visant à rester invisibles.
Figure 4. Exemple de journaux d'utilisateurs de plateformes d'échange illicites infectées par un voleur d'informations. Source : Flare
Ouvrir la voie : du nettoyage des cryptomonnaies à leur encaissement
Lorsqu'ils reçoivent des cryptomonnaies d'origine douteuse, ces services utilisent souvent différentes méthodes, comme… CoinJoin Pour brouiller les pistes de transaction et rompre le lien direct entre les fonds illicites et leur source, CoinJoin, utilisé par des portefeuilles comme Wasabi, combine les UTXO de plusieurs utilisateurs en une seule transaction, rendant difficile le traçage des entrées et des sorties spécifiques. Cependant, cette méthode ne garantit pas un anonymat complet. Des recherches indiquent qu'une analyse poussée permet d'identifier des schémas et potentiellement de remonter jusqu'à l'origine des sorties.
Figure 5. Un service d'échange et de mixage de cryptomonnaies présenté sur le forum XSS. Ce service prétend pouvoir effectuer des virements bancaires ou des paiements en espèces.
Les services illicites les plus sophistiqués utilisent souvent des échanges inter-chaînes, comme la conversion de Bitcoin (BTC) en Monero (XMR), puis en Ethereum (ETH), afin de dissimuler l'origine des fonds et de contourner les systèmes de détection du blanchiment d'argent. Selon le département du Trésor américain, cette technique, appelée « chain hopping », complique le suivi des transactions sur différentes blockchains. D'autres font appel à des courtiers de gré à gré ou créent leurs propres plateformes d'échange alternatives pour vendre des cryptomonnaies illicites à des acheteurs ou complices non avertis, en échange de fonds légaux, souvent dans des régions où les contrôles d'identité sont faibles ou inexistants.
Figure 6. Un exemple de service d'échange qui prétendait sur le forum XSS qu'il était capable de fournir des cryptomonnaies propres à ses clients en vendant les cryptomonnaies sales à des acheteurs non avertis sur des plateformes légitimes telles que Binance/Kraken/KuCoin.
Dans certaines configurations d'obfuscation, les cybercriminels reçoivent des cryptomonnaies « propres » provenant d'une réserve de liquidités pré-remplie, tandis que leurs cryptomonnaies « sales » sont progressivement recyclées via des services de mixage, des comptes fantômes ou vendues en petites quantités afin de réduire leur score de risque de blanchiment d'argent. Ces scores reposent sur des heuristiques telles que la proximité avec des portefeuilles illicites, le nombre de sauts et la vitesse de transfert. Pour améliorer ces scores, les acteurs ajoutent délibérément une dilution temporelle (en laissant les cryptomonnaies « vieillir » pendant des mois) et fragmentent les transactions afin de rendre la détection plus difficile.
La dernière étape du processus d'obscurcissement, et la plus difficile à détecter pour les enquêteurs, est appelée « encaissement », c'est-à-dire la conversion des cryptomonnaies en billets de banque ou en monnaie fiduciaire déposés sur un compte bancaire. Comme l'a démontré notre précédent entretien avec l'un des principaux services d'échange, organiser une telle opération est relativement simple dans l'ex-URSS, et même dans certaines régions d'Europe et d'ailleurs. Un exemple récent et notable de ce type de service en Europe est le cas d'Ekaterina Zhdanova, une ressortissante russe qui dirigeait le Smart Group, un réseau de blanchiment d'argent en cryptomonnaies facilitant la conversion de fonds illicites pour diverses organisations criminelles, notamment des cartels de la drogue basés au Royaume-Uni.
Figure 7. Exemple d'un service de retrait d'argent annoncé sur le forum DarkMoney, prétendant pouvoir livrer des billets de banque en Russie, dans la CEI ou en Europe. Traduit automatiquement du russe.
Figure 8. Les néobanques sont particulièrement ciblées, de nombreux acteurs malveillants vendant des comptes pour ces institutions. Traduit automatiquement du russe. Source : forum DarkMoney.
Cependant, une fois le retrait effectué, un défi plus complexe se pose : comment dépenser l’argent sans attirer l’attention des autorités ? Dissimuler l’origine illicite des cryptomonnaies est une chose ; blanchir efficacement des fonds criminels et légaliser ces revenus en est une autre. Comme l’a souligné LockBitSupp (alias Dmitry Khoroshev) sur XSS au plus fort de son activité : « Le plus important, le plus long et le plus fastidieux, c’est la légalisation. Pour les forces de l’ordre de tous les pays, toutes vos sources de revenus doivent être claires et transparentes. Chacun doit savoir d’où vient votre argent et qu’il est légal. Dès que vous commencez à dépenser de l’argent illégal, vous vous exposez, ce qui signifie que vous pouvez être placé sous surveillance. »
Figure 9. En novembre 2022, LockBitSupp expliquait sur un forum XSS comment il était parvenu à rester anonyme. Son sixième point soulignait l'importance de la légalisation des revenus. (Traduction automatique du russe)
Le blanchiment à grande échelle : là où commencent les vrais défis
La question de la légalisation des revenus, ou plus directement du blanchiment d'argent, revient fréquemment sur les principaux forums de cybercriminalité russophones. Cependant, cette préoccupation ne concerne en réalité qu'une petite fraction des cybercriminels. La plupart ne gagnent tout simplement pas assez pour que le blanchiment d'argent devienne un problème sérieux, ou n'en comprennent pas toujours l'importance. En réalité, le blanchiment d'argent est surtout un problème pour les cybercriminels les plus « successeurs », tels que les opérateurs de services illicites comme le Rançongiciels as a service (SaaS), le malware as a service (SaaS), l'hébergement ultra-sécurisé, les plateformes d'échange clandestines, ainsi que les propriétaires de forums et de places de marché illicites. Il concerne également les principaux affiliés de Rançongiciels, les développeurs de malware les plus importants et certains spécialistes de niche. Pour le reste de l'écosystème cybercriminel, quelques milliers de dollars par mois, voire moins, peuvent être facilement dépensés en espèces ou transférés via des comptes bancaires enregistrés sous de fausses identités ou des « drops », un terme d'argot russe désignant les personnes qui prêtent ou vendent leur identité pour des opérations financières.
Figures 10 et 11. Exemples de sujets sur XSS et Exploit concernant le blanchiment d'argent et les investissements commerciaux légaux.
Discussions sur le blanchiment d'argent sur les forums de cybercriminalité russophones : des pistes existent, mais pas de plans précis.
Sans entrer dans des détails superflus, examinons quelques-unes des techniques de blanchiment d'argent les plus fréquemment abordées sur les forums russophones tels que XSS, Exploit et DarkMoney. S'il est relativement aisé de trouver des services et des informations pour faciliter le « nettoyage » et le retrait de cryptomonnaies, aucun service ne se présente ouvertement comme une solution de blanchiment. Il est fort probable que les cybercriminels qui réussissent des opérations de blanchiment gardent leurs techniques secrètes et évitent de divulguer des détails précis. De ce fait, nombre d'entre eux recherchent activement des conseils sur la manière de légaliser leurs revenus, notamment dans les pays de l'ex-URSS, mais aussi dans certaines régions d'Europe.
Plusieurs cas sont à la fois amusants et révélateurs, mettant en lumière le manque généralisé de connaissances financières et fiscales chez les cybercriminels. Par exemple, certains sont surpris de découvrir qu'une part importante de leurs fonds sera absorbée par les impôts, les frais de service ou les pots-de-vin lors du blanchiment d'argent. D'autres peinent à comprendre que dépenser d'importantes sommes d'argent illicite sans attirer l'attention des autorités fiscales ou des services de lutte contre le blanchiment d'argent est loin d'être simple. Nombreux sont ceux qui rêvent encore d'une solution miracle ou d'un moyen simple et sans risque de légaliser leurs gains illicites, ce qui, en réalité, n'existe tout simplement pas.
Figure 12. Un acteur malveillant explique sur un forum XSS qu'il est absolument nécessaire de légaliser une part importante de revenus non déclarés pour éviter d'attirer l'attention des forces de l'ordre. (Traduction automatique du russe)
Figure 13. Un acteur malveillant donne des indications sur les techniques de blanchiment sur le forum XSS. Traduit automatiquement du russe.
Figure 14. Un acteur malveillant affirme sur XSS avoir de l'expérience en matière de techniques de blanchiment d'argent, mais refuse de donner des détails précis sur ses méthodes. Traduction automatique du russe.
Principales méthodes de blanchiment d'argent utilisées par les acteurs terroristes russophones
En résumé, les méthodes de blanchiment d'argent les plus fréquemment évoquées par les acteurs malveillants russophones peuvent être décrites comme suit :
- Création et vente de NFT : Dans ce cas précis, un individu malveillant crée une « œuvre d'art » numérique et la vend contre des cryptomonnaies via un portefeuille anonyme qu'il contrôle secrètement. Bien que simple en apparence, cette méthode comporte des risques importants, car les autorités fiscales surveillent de plus en plus les transactions liées aux NFT. Elle ne peut être répétée fréquemment ni impliquer des sommes importantes sans éveiller les soupçons.
- Le décès d’un membre de la famille est également perçu par certains acteurs malveillants comme une « bonne opportunité » pour justifier des fonds illicites : Ils n'hésitent pas à affirmer, dans les documents successoraux, avoir découvert d'importantes sommes d'argent liquide au domicile du défunt.
- « Gagner de l’argent » dans un casino en ligne : Dans ce cas, le cybercriminel doit collaborer avec les exploitants de casinos, les persuadant de participer au blanchiment d'argent en échange d'une commission. Cette approche est particulièrement risquée, car elle nécessite de trouver un casino complaisant et de partager des informations personnelles ou opérationnelles sensibles avec ses administrateurs. (Un cas similaire a été rapporté par un cybercriminel prétendant résider dans un pays européen, où il aurait blanchi de l'argent via un casino physique. D'autres cybercriminels, commentant l'affaire, ont jugé cette méthode risquée et viable uniquement comme solution ponctuelle. Ils ont souligné que de tels casinos pourraient facilement attirer l'attention des autorités de régulation, ce qui pourrait entraîner des audits fiscaux des prétendus « gagnants ».)
- Une formule populaire, particulièrement attrayante il y a quelques années, consiste à acheter des biens immobiliers dans un certain pays du Moyen-Orient : D'après les témoignages de cybercriminels, il est relativement facile d'y trouver des développeurs qui acceptent les paiements en espèces ou en cryptomonnaie et qui sont prêts à aider pour les formalités administratives et les opérations bancaires. Après un an de détention, le bien peut être vendu et le produit de la vente peut être considéré comme partiellement « propre » dans cette juridiction. Toutefois, justifier l'origine de ces fonds à l'étranger reste problématique.
- En définitive, la stratégie de légalisation la plus populaire, mais aussi la plus complexe, évoquée par les cybercriminels est la création d'une entreprise légitime.
- Pour les acteurs malveillants à faibles revenus, l'entreprise individuelle dans le domaine des services dématérialisés est souvent considérée comme l'option la plus appropriée, surtout si l'activité n'est pas liée aux technologies de l'information.
- Pour les individus ou groupes plus fortunés et ambitieux, la création d'une ou plusieurs entreprises aux activités réelles et à la comptabilité falsifiée est une méthode largement évoquée. Cette approche est étayée non seulement par les affirmations d'acteurs de la cybercriminalité notoires sur les forums spécialisés, mais aussi, comme nous le verrons, par des exemples concrets impliquant LockBitSupp et Tramp, les cerveaux respectifs des groupes RaaS LockBit et BlackBasta.
Figure 15. Principales techniques de blanchiment d’argent évoquées par les acteurs de la menace russophones. Source : Cybercrime Diaries/Flare
Blanchiment d'entrepreneurs : les cas des administrateurs de LockBitSupp et de Black Basta
Suite à l'identification des administrateurs présumés des opérations de Rançongiciels LockBit et Black Basta, il a été possible de recueillir davantage d'informations à leur sujet, d'autant plus que de nombreuses informations concernant les entrepreneurs et les chefs d'entreprise sont accessibles au public en Russie. Il ressort des activités de Dmitry Khoroshev (LockBitSupp – LockBit) et d'Oleg Nefedov (Tramp – Black Basta) que leur principal atout, tant dans leurs activités cybercriminelles que commerciales, réside non pas dans une expertise technique exceptionnelle, mais dans des capacités organisationnelles remarquables.
Les fuites de Black Basta ont révélé qu'Oleg Nefedov dirigeait non seulement cette organisation cybercriminelle, mais gérait également plusieurs entreprises liées à la restauration. Il semblait aussi avoir des liens étroits avec des plateformes d'échange de cryptomonnaies illicites actives à Moscou, ce qui lui permettait d'organiser efficacement le transfert de sommes importantes et leur blanchiment ultérieur. Fait intéressant, l'épouse de M. Nefedov est très probablement impliquée dans cette opération de blanchiment, puisqu'elle possède elle aussi un restaurant.
L'implication de membres de la famille dans des systèmes de blanchiment d'argent est en réalité assez courante et fréquemment abordée sur les forums de cybercriminels. Il n'est pas rare que des proches de cybercriminels se découvrent soudainement une vocation pour l'entrepreneuriat ou occupent des postes de direction très bien rémunérés dans des entreprises finalement contrôlées par le cybercriminel.
Figure 16. Activité commerciale d'Oleg Nefedov (Tramp – BlackBasta) et de son épouse. Source : Cybercrime Diaries/Flare
La levée de l'anonymat du ressortissant russe Dmitry Khoroshev, alias LockBitSupp, par les forces de l'ordre en 2024 a également permis d'entrevoir les opérations de blanchiment d'argent de ce multimillionnaire. Bien que les informations soient moins nombreuses que dans d'autres affaires, il semble que M. Khoroshev ait exercé, et exerce toujours, son activité en tant qu'entrepreneur individuel dans le secteur de la publicité en ligne. Il a également fondé une boutique de vêtements en ligne, officiellement fermée le 30 septembre 2022.
Il est à noter que la mention suivante figure dans l'enregistrement en ligne de cette société : « Informations non fiables. Résultats d'une vérification de l'exactitude des données contenues dans l'EGRUL concernant la personne morale. » Cela laisse supposer que les autorités fiscales russes ont identifié certaines informations enregistrées de la société, telles que son adresse, ses dirigeants ou ses fondateurs, comme étant fausses ou non vérifiables. Autrement dit, cela pourrait indiquer que la société a été reconnue comme une société écran, ce qui souligne une fois de plus que les opérations de régularisation de revenus illicites ne sont pas toujours simples.
Enfin, il est probable que M. Khoroshev utilise d'autres canaux, encore inconnus, pour blanchir de l'argent, possiblement par le biais d'entités enregistrées sous de faux noms ou ceux de proches.
Figure 17. Activité commerciale de Dmitry Khoroshev (LockBitSupp). Source : Cybercrime Diaries/Flare
Figure 18. Version archivée du magasin de vêtements en ligne appartenant à M. Khoroshev.
Réflexions finales : Le coût de l’argent propre
Le blanchiment de cryptomonnaies illicites n'est pas l'acte final et spectaculaire d'un braquage de cybercriminel ; c'est une opération complexe, coûteuse et risquée. Bien que techniquement possible, le processus se complique considérablement sans intermédiaires de confiance, sans accès aux réseaux de blanchiment ni capacité à simuler une activité commerciale légitime sans éveiller les soupçons.
Comme le souligne ce blog, bien que l'anonymat initial et le retrait des fonds puissent être relativement faciles à organiser grâce à un écosystème florissant de services de mixage, d'échanges clandestins et de services de retrait de fonds, le véritable défi commence lorsqu'il s'agit de convertir ces fonds en revenus propres et utilisables au sein de l'économie légale.
Pour la majorité des acteurs du cybercrime russophone, cette étape reste inaccessible ou sans importance. Mais pour la petite minorité qui engrange des sommes considérables, la légalisation devient une nécessité si elle souhaite profiter pleinement des fruits de ses activités criminelles. Que ce soit par le biais de sociétés écrans, de restaurants familiaux ou d'entreprises de commerce électronique douteuses, la transition des actifs numériques vers des revenus légitimes exige bien plus que des compétences techniques. Elle requiert de la patience, une maîtrise des rouages administratifs et une connaissance approfondie des systèmes financiers et réglementaires que ces acteurs exploitent fréquemment.
Paradoxalement, plus un cybercriminel réussit, plus il se rapproche du monde qu'il cherchait à fuir. Comme l'écrivait LockBitSupp, le plus grand risque ne provient peut-être pas du piratage de réseaux ou de la collecte de rançons, mais de l'utilisation de fonds illicites. En fin de compte, le blanchiment de cryptomonnaies illégales est autant un défi organisationnel qu'un exercice d'équilibriste périlleux entre discrétion et appât du gain.
Approfondissez vos connaissances sur la cybercriminalité avec Flare Academy
Vous souhaitez en savoir plus sur la recherche en cybercriminalité ? Découvrez les formations de Flare Academy, animées par des chercheurs en cybersécurité. Consultez ici les prochaines sessions.
Nous offrons aussi la Communauté Discord de Flare Academy, où vous pouvez échanger avec vos pairs et accéder aux ressources de formation de la Flare Academy.
J'ai hâte de vous y voir!
Références
[1] TRM, « Rapport sur la criminalité liée aux cryptomonnaies 2025 », 2025, https://www.trmlabs.com/resources/reports/2025-crypto-crime-report#:~:text=The%202025%20Cryptomonnaies%20Crime%20Report,payments%20soared%20to%20record%20highs
[2] Chainalysis Team, « Cryptomonnaies Ransomware 2025 : baisse de 35.82 % en glissement annuel des paiements de Rançongiciels », Chainalysis (blog), 5 février 2025, https://www.chainalysis.com/blog/crypto-crime-Rançongiciels-victim-extortion-2025
[3] « Les forces de l’ordre déjouent la plus grande opération de Rançongiciels au monde », Europol, 20 février 2024, https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-disrupt-worlds-biggest-Rançongiciels-operation
[4] Flare, « Logiciels malveillants voleurs d’informations : une introduction », Flare | Cyber Threat Intel | Protection contre les risques numériques (blog), 13 novembre 2024, https://flare.io/learn/resources/blog/infostealer-malware
[5] « Le Trésor américain sanctionne Evil Corp, le groupe cybercriminel basé en Russie à l’origine du logiciel malveillant Dridex », Département du Trésor des États-Unis, 5 décembre 2019, https://home.treasury.gov/news/press-releases/sm845
[6] WIRED, « La police allemande affirme avoir identifié le mystérieux chef du Rançongiciels Trickbot », 30 mai 2025, https://www.wired.com/story/stern-trickbot-identified-germany-bka
[7] « Dmitry Yuryevich Khoroshev, administrateur du Rançongiciels Lockbit », Département d'État des États-Unis (blog), 7 mai 2024, https://www.state.gov/transnational-organized-crime-rewards-program-2/lockbit-Rançongiciels-administrator-dmitry-yuryevich-khoroshev
[8] « Ransomware : de REvil à Black Basta, que sait-on de Tramp ? », LeMagIT, 1er mars 2025, https://www.lemagit.fr/actualites/366619807/Ransomware-de-REvil-a-Black-Basta-que-sait-on-de-Tramp
[9] « Bureau des affaires publiques | Un ressortissant russe arrêté et inculpé de complot en vue de commettre des attaques de Rançongiciels LockBit contre des entreprises américaines et étrangères | Département de la Justice des États-Unis », 15 juin 2023, https://www.justice.gov/archives/opa/pr/russian-national-arrested-and-charged-conspiring-commit-lockbit-Rançongiciels-attacks-against-us
[10] « Le Trésor américain sanctionne le célèbre mélangeur de monnaie virtuelle Tornado Cash », Département du Trésor américain, 8 août 2022, https://home.treasury.gov/news/press-releases/jy0916
[11] Oleg O, « 50 nuances d’hébergement à l’épreuve des balles – Le paysage de l’hébergement à l’épreuve des balles sur les forums de cybercriminalité en langue russe », Journal de cybercriminalité, 8 juillet 2024, https://www.cybercrimediaries.com/post/50-shades-of-bulletproof-hosting-bph-landscape-on-russian-language-cybercrime-forums
[12] Protos, « Les services secrets du gouvernement américain ont piraté le portefeuille Bitcoin « anonyme » Wasabi », Protos (blog), 14 mars 2022, http://protos.com/bitcoin-mixing-coinjoin-wasabi-chainalysis-samourai-privacy-wallet
[13] DÉPARTEMENT DU TRÉSOR DES ÉTATS-UNIS, « Évaluation des risques financiers illicites liés à la finance décentralisée », avril 2023, https://home.treasury.gov/system/files/136/DeFi-Risk-Full-Review.pdf
[14] Dilip Kumar Patairya, « Cointelegraph Bitcoin & Ethereum Blockchain Médias et actualités », Cointelegraph, 18 mars 2025, https://cointelegraph.com/explained/crypto-and-money-laundering-what-you-need-to-know
[15] Elliptic, « Rapport sur les typologies 2024 », 2024, https://www.elliptic.co/hubfs/Elliptic%20Typologies%20Report%202024.pdf
[16] BBC, « Des criminels russes spécialisés dans les cryptomonnaies ont aidé des gangs de trafiquants de drogue britanniques à blanchir l’argent du confinement », 4 décembre 2024, https://www.bbc.com/news/articles/c70ezyrep1go
[17] Oleg O, « Fuite de conversations Black Basta – Organisation et infrastructures », Cybercrime Diaries, 5 mars 2025, https://www.cybercrimediaries.com/post/black-basta-chat-leak-organization-and-infrastructures
