Lancé en 2017, ChipMixer aurait permis de blanchir l'équivalent d'environ 3 milliards de dollars, émanant majoritairement de cybercriminels, mais également de hackers étatiques nord-coréens et russes. Une transaction de 150$, sur Paypal, a permis au FBI d'identifier son responsable.
Europol vient d'annoncer le démantèlement, avec l'aide des autorités allemandes et états-uniennes, de « l'un des plus importants blanchisseurs de crypto-monnaies du darkweb ».
L'enquête, qui a également bénéficié de l'aide de la Belgique, la Pologne et la Suisse, a permis la saisie de quatre serveurs et 7 To de données, ainsi que la « somme record » de 1 909,4 bitcoins (soit environ 44,2 millions d'euros), « la plus grande saisie d'actifs cryptographiques par le BKA à ce jour », se félicite l’Office fédéral de la police criminelle (BKA) allemand.
Lancé à la mi-2017, ChipMixer, qui était accessible sur un service caché en .onion, ainsi que via chipmixer.com, jusqu'à leurs saisies, acceptait notamment les bitcoins d'origine criminelle afin de les blanchir (ce que l'on appelle le « mixage »), en les mélangeant en de multiples jetons (« chips ») censés anonymiser la provenance des fonds.
Depuis sa création, ChipMixer aurait ainsi blanchi environ 154 000 bitcoins, soit l'équivalent de 2,73 milliards d'euros, en grande partie émanant de places de marché du dark web, d'actifs cryptographiques obtenus frauduleusement, de trafics de marchandises illicites, de matériels audiovisuels d'exploitation sexuelle d'enfants, et d'autres activités criminelles « telles que le trafic de drogue, le trafic d'armes, les attaques par ransomware et les fraudes à la carte de paiement », précise Europol :
« Des acteurs du secteur des rançongiciels tels que Zeppelin, SunCrypt, Mamba, Dharma ou Lockbit ont également utilisé ce service pour blanchir les rançons qu'ils avaient reçues. »
Le 119e « Cyber’s Most Wanted » du FBI
Le Département américain de la Justice précise de son côté avoir inculpé un Vietnamien de 49 ans, Minh Quốc Nguyễn, vivant à Hanoï, pour blanchiment d'argent, exploitation d'une entreprise de transmission de fonds sans licence et usurpations d'identités.
Son nom vient d'être rajouté à la liste des 119 « Cyber’s Most Wanted » du FBI, aux côtés d'autres cybercriminels et pirates informatiques, dont un certain nombre de hackers étatiques russes, iraniens, chinois ou nord-coréens.
ChipMixer est notamment accusé d'avoir blanchi :
- 17 millions de dollars en bitcoins pour des criminels liés à environ 37 souches de ransomware, dont Sodinokibi, Mamba et Suncrypt ;
- plus de 700 millions de dollars en bitcoins associés à des portefeuilles volés, dont certains par des hackers étatiques nord-coréens ;
- plus de 200 millions de dollars en bitcoins associés directement ou par le biais d'intermédiaires à des marchés du darknet, dont plus de 60 millions de dollars en bitcoins traités pour le compte de clients d'Hydra Market, le marché du darknet le plus important et le plus ancien au monde jusqu'à sa fermeture en avril 2022 par les forces de l'ordre américaines et allemandes ;
- des bitcoins utilisés par la Direction principale du renseignement (GRU) russe, le 85e Centre principal de services spéciaux et l'unité militaire 26165 (alias APT 28) pour acheter l'infrastructure du logiciel malveillant Drovorub, qui avait fait l'objet d'un avis de cybersécurité conjoint publié par le FBI et la National Security Agency en août 2020.
Le Département de la Justice relève également que Nguyễn avait « publiquement tourné en dérision les efforts déployés pour lutter contre le blanchiment d'argent », les qualifiant de « trahison des banques et des gouvernements », et conseillant à ses clients de ne pas utiliser les plateformes respectant les normes internationales de lutte contre le blanchiment d'argent et la connaissance du client (Know your customer, ou KYC en anglais), tout en leur indiquant comment utiliser ChipMixer pour se soustraire à ces obligations de déclaration.
ChipMixer était l'un des services de mixage les plus populaires
L'acte d'inculpation (de 60 pages), qui détaille l'enquête ayant permis au FBI d'identifier Minh Quốc Nguyễn, rappelle que ChipMixer était devenu l'un des mixers les plus utilisés pour blanchir les fonds d'origine criminelle depuis les saisies de Bestmixer.io en 2019, accusé d'avoir blanchi l'équivalent de 200 millions de dollars, de BicoinFog et d'Helix en 2021, qui aurait de son côté blanchi plus de 300 millions de dollars de cryptoactifs :
« Selon l'analyse du FBI, ChipMixer était l'un des services de mixage les plus populaires utilisés par les opérateurs de ransomware pour obscurcir et blanchir les rançons payées par les victimes. »
Une entreprise spécialisée dans l'analyse des blockchains qui travaille pour le FBI a pu relier « approximativement 118 500 adresses bitcoin » à ChipMixer, et découvert qu'elle avait reçu 153 732 bitcoins, et renvoyé 153 672, soit l'équivalent de 3 milliards de dollars.
L'entreprise a pu relier « plus de 5 583 transactions » émanant d'Hydra, la plus grosse des plate-formes du « dark web », démantelée en 2022, qui avait envoyé à ChipMixer, directement ou indirectement, l'équivalent de 121 millions de dollars.
- La police saisit Hydra, la plus grosse des plate-formes du « dark web »
- « Dark web » : l'hébergeur d'Hydra trahi par ses factures
Au total, ChipMixer aurait reçu 721 millions de dollars associés à des vols de portefeuilles de cryptoactifs, dont une partie a été attribuée par le FBI au groupe de hackers étatiques nord-coréen Lazarus Group/APT38, 185 millions de dollars en provenance de places de marché du dark web, 35 millions émanant de magasins illicites, et 17 millions issus de 37 groupes de rançongiciels.
Le FBI relève que ChipMixer avait promu sa plateforme dès mai 2017 sur le forum spécialisé BitcoinTalk, où il prétendait vouloir « réinventer le mixage de bitcoins », et où il a depuis posté plus de 400 messages, les derniers datant de février 2023.
En juin 2017, ChipMixer avait par exemple critiqué les lois sur le blanchiment d'argent et les exigences en matière de connaissance du client (KYC), promouvant le recours aux bitcoins anonymisés :
« Si votre argent est dans une banque, c'est comme le bitcoin sur les plateformes légales - vous n'avez pas de clés privées. Il peut être gelé, il peut être tracé, il peut être surveillé de très près.
Si vous avez de l'argent liquide, vous pouvez faire ce que vous voulez. Personne ne peut l'invalider ni le surveiller. Sauf la police qui peut vous le confisquer.
Les bitcoins sont préférables. Personne ne sait que vous en possédez (sauf si vous utilisez un échange KYC), vous pouvez les échanger contre de l'argent liquide où vous voulez. »
Une erreur de 150 $ avec le commentaire « Merci »
L'opérateur de ChipMixer « s'est donné beaucoup de mal pour dissimuler son identité et sa localisation », relève le FBI. De fait, les adresses IP utilisées pour accéder à ses boîtes aux lettres e-mails, registrars, machines virtuelles et serveurs dédiés étaient majoritairement des relais Tor. Et les identités et adresses postales associées étaient fictives.
Le FBI n'en a pas moins obtenu de nombreux documents transmis par les divers services utilisés par le blanchisseur, qui « montrent que Nguyễn a dissimulé son identité en utilisant des pseudonymes et des fournisseurs de courrier électronique anonymes tels que ProtonMail et India.com ».
L'un des serveurs de ChipMixer, hébergé par Hetzner Online GmbH en Allemagne, loué via des adresses ProtonMail et Google dont les numéros de téléphone renvoyaient à la Pologne et à l'Ukraine, était payé via des virements Paypal.
Or, les transactions abondant le compte Paypal émanaient d'adresses mail majoritairement volées à des citoyens américains de 60 à 70 ans (dont une était décédée), « à l'exception d'une adresse associée à Minh Nguyễn », nqminh**@yahoo.com (nous avons pseudonymisé ses identifiants dans l'article, contrairement aux captures d'écran, non référencées par les moteurs de recherche, NDLR) :
« Le compte PayPal portant le nom "MINH Nguyễn", l'adresse électronique nqminh**@yahoo.com, le numéro de compte 170678221107322****, était le seul compte PayPal qui n'était pas associé à une identité basée aux États-Unis et qui était associé à un compte bancaire réel dans les journaux de transactions des paiements reçus sur le compte PayPal V3. »
En outre, les journaux de transactions PayPal relatifs à ces différents comptes ont révélé des transactions « avec environ 70 utilisateurs différents possédant des comptes ProtonMail ». Les données relatives à ces abonnés, transmises par ProtonMail, indiquaient pour 24 d'entre eux jamessmith****@gmail.com comme adresse de récupération, et 9 minh***@ymail.com.
Or, « le 27 décembre 2022, un paiement par carte de crédit a été reçu de Minh Nguyễn, adresse électronique nqminh**@yahoo.com pour 150,00 $ avec le commentaire "Merci" », indiquant que Nguyễn avait utilisé son adresse personnelle pour financer l'infrastructure opérationnelle de ChipMixer, explique le FBI :
« Les documents fournis par PayPal à l'adresse nqminh**@yahoo.com ont révélé que le compte était associé au nom "Minh Quoc Nguyễn", à la date de naissance du 21 octobre 1973, au numéro de téléphone +8498246****, à une adresse à Hanoï, au Viêt Nam, et à un compte courant à la Joint Stock Commercial Bank for Foreign Trade of Vietnam (Banque commerciale par actions pour le commerce extérieur du Viêt Nam). »
149 027 bornages aux alentours de Hanoï entre 2016 et 2022
De plus, l'adresse minh***@ymail.com était elle aussi associée à ce même numéro de téléphone +8498246****, ainsi qu'à l'identité de Minh Quoc Nguyễn, tout en étant utilisée comme adresse email de récupération sur au moins l'un des comptes Gmail fictifs utilisé pour louer une partie de l'infrastructure de ChipMixer, jamessmith****@gmail.com, et acheter en bitcoins des dollars afin d'alimenter ses comptes Paypal.
Or, l'historique des données de géolocalisation associées à cette adresse Gmail, entre septembre 2016 et mars 2022, révèle 149 027 bornages cellulaires, GPS et Wi-Fi situés à l'intérieur ou aux alentours de Hanoï, au Vietnam.
L'historique des recherches Google associées indique par ailleurs que son utilisateur cherchait à pouvoir acquérir gratuitement, générer ou acheter des numéros de sécurité sociale, dates de naissance et autres informations personnelles identifiables (PII, en anglais).
Sa boîte aux lettres Gmail contenait, d'autre part, des centaines d'adresses e-mails, mots de passe, identités et numéros de cartes de paiements volés, entre autres PII. Et le compte ouvert par jamessmith****@gmail.com sur la plateforme d'échange de cryptomonnaies Binance était, lui aussi, associé à un certain Minh Quoc Nguyễn, né le 10 octobre 1973, et dont le numéro de téléphone était, là encore, +8498246****. Binance conditionnant l'ouverture d'un compte au respect du KYC, et donc à la transmission d'une pièce d'identité, il était en outre accompagné d'une carte d'identité vietnamienne éponyme...
L'analyse des transactions de son portefeuille Binance indiquait en outre qu'il avait envoyé des bitcoins à 25 reprises sur un compte ouvert sur la plateforme d'échanges de Bitcoin en peer-to-peer Remitano au nom de Minh Quoc Nguyễn, né le 10 octobre 1973, titulaire d'un compte bancaire à la Vietcombank du Vietnam. Pour respecter les procédures KYC, il lui avait là aussi transmis une copie de son passeport vietnamien, ainsi qu'un selfie où il arbore la même carte d'identité que celle associée à son compte Binance.
Le compte Dropbox ouvert avec ces deux adresses Yahoo et Gmail contenait de son côté des informations sur une centaine d'identités volées, ainsi que des informations utilisées pour contourner les processus de détection des fraudes par des sociétés telles que PayPal et Google, lui permettant de créer des comptes Paypal ayant interagi avec l'adresse nqminh**@yahoo.com :
« Chaque dossier contenait généralement des informations personnelles, des documents tels que des permis de conduire, des identifiants de compte de voix sur IP (VoIP), des identifiants VPS pour un serveur situé dans la région géographique de l'identité, ainsi qu'un cookie numérique. »
Les comptes Paypal associés aux adresses mail de Nguyễn, utilisées pour louer le serveur de ChipMixer chez Hetzner, révélaient de leur côté qu'ils avaient reçus des paiements émanant de plusieurs adresses Protonmail dont les adresses de récupération étaient minh***@ymail.com et jamessmith****@gmail.com. Elles étaient donc aussi liées à Nguyễn.
Un doctorat en électronique, qui encourt 40 ans de prison
Le compte Apple associé à minh***@ymail.com ouvert au nom de Minh Quoc Nguyễn avec, là encore, le numéro de téléphone +8498246****, depuis une adresse IP vietnamienne, révélait des transactions avec la Vietcombank, Remitano, Binance et plusieurs autres plateformes d'échanges de cryptomonnaies.
Des documents et photos associés indiquaient de plus que Minh Quoc Nguyễn avait reçu une formation de base en ingénierie cryptographique, obtenu un doctorat en ingénierie électronique à Taïwan en 2016, et « auparavant travaillé dans le décryptage des communications et la cyber reconnaissance ».
Plusieurs photos montraient un visage ressemblant très fortement aux papiers d'identité fournis à Binance et Remitano, l'une d'entre elle comportant exactement le même arrière-plan que celui du selfie fourni à celui-ci.
Le compte LinkedIn créé depuis une adresse IP vietnamienne par minh***@ymail.com indiquait pour sa part que Nguyễn Quoc Minh avait étudié à Kaohsiung, à Taiwan. nqminh**@gmail.com, l'autre adresse Gmail de récupération associée à minh***@ymail.com, était elle aussi associée au numéro +8498246**** et à la date de naissance de Nguyễn, ainsi qu'à un compte LinkedIn ouvert au nom de Nguyễn Quoc Minh au Vietnam depuis, là encore, une adresse IP vietnamienne.
Une recherche en sources ouvertes renvoyait par ailleurs au profil (photo ressemblante comprise) de Nguyễn Quoc-Minh sur la plateforme ResearchGate, et qu'il était doctorant au Département de génie électronique de l'université nationale des sciences et technologies de Kaohsiung, à Taiwan, de 2011 à 2016.
Grâce au Cloud Act, le FBI découvrait par ailleurs que les adresses IP ayant accédé au compte ouvert par jamessmith****@gmail.com chez Premium Technologies, en Grande-Bretagne, étaient elles associées à plusieurs opérateurs vietnamiens.
« Une plainte pénale n'est qu'une allégation », rappelle le Département de la Justice : « tous les accusés sont présumés innocents jusqu'à ce que leur culpabilité soit prouvée au-delà de tout doute raisonnable devant un tribunal ».
S'il était arrêté, extradé et reconnu coupable, Nguyễn Quoc Minh encourrait une peine maximale de 40 années de prison.
