VietNetwork.Vn

Các nhóm tội phạm có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK hay Bắc Triều Tiên) đóng vai trò quan trọng trong việc thúc đẩy sự gia tăng mạnh mẽ các vụ trộm tiền điện tử toàn cầu trong năm 2025, chiếm ít nhất 2,02 tỷ đô la trong tổng số hơn 3,4 tỷ đô la bị đánh cắp từ tháng Giêng đến đầu tháng Mười Hai.

Con số này thể hiện mức tăng 51% so với cùng kỳ năm ngoái và cao hơn 681 triệu đô la so với năm 2024, khi các đối tượng tội phạm mạng đánh cắp 1,3 tỷ đô la, theo Báo cáo Tội phạm Mã hóa của Chainalysis được chia sẻ với The Hacker News.


"Đây là năm nghiêm trọng nhất từ trước đến nay về nạn trộm cắp tiền điện tử của Triều Tiên xét về giá trị bị đánh cắp, với các cuộc tấn công của Triều Tiên cũng chiếm kỷ lục 76% tổng số vụ xâm phạm dịch vụ," công ty tình báo blockchain cho biết. "Nhìn chung, số liệu năm 2025 đưa ước tính tích lũy tối thiểu về số tiền điện tử bị Triều Tiên đánh cắp lên tới 6,75 tỷ đô la."

Vụ tấn công vào sàn giao dịch tiền điện tử Bybit hồi tháng Hai đã gây thiệt hại 1,5 tỷ đô la trong tổng số 2,02 tỷ đô la bị Triều Tiên cướp đoạt. Vụ tấn công được cho là do một nhóm tin tặc có tên TraderTraitor (còn gọi là Jade Sleet và Slow Pisces) thực hiện. Một phân tích được Hudson Rock công bố hồi đầu tháng này đã liên kết một máy tính bị nhiễm Lumma Stealer với cơ sở hạ tầng liên quan đến vụ tấn công Bybit dựa trên sự hiện diện của địa chỉ email " trevorgreer9312@gmail[.]com ".

Các vụ trộm tiền điện tử này là một phần trong chuỗi các cuộc tấn công quy mô lớn hơn do nhóm tin tặc Lazarus Group, được Triều Tiên hậu thuẫn, thực hiện trong thập kỷ qua. Nhóm này cũng được cho là có liên quan đến vụ đánh cắp 36 triệu đô la tiền điện tử từ Upbit, sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, vào tháng trước.

Nhóm Lazarus có liên hệ với Cục Tình báo Tổng hợp (RGB) của Bình Nhưỡng. Ước tính nhóm này đã biển thủ không dưới 200 triệu đô la từ hơn 25 vụ trộm tiền điện tử trong giai đoạn 2020-2023.

Kẻ thù là một quốc gia thuộc một trong những nhóm tin tặc hoạt động tích cực nhất, đồng thời cũng có lịch sử dàn dựng một chiến dịch kéo dài mang tên Chiến dịch Việc làm Mơ ước, trong đó những người lao động tiềm năng làm việc trong các lĩnh vực quốc phòng, sản xuất, hóa chất, hàng không vũ trụ và công nghệ bị tiếp cận qua LinkedIn hoặc WhatsApp với những cơ hội việc làm hấp dẫn để lừa họ tải xuống và chạy phần mềm độc hại như BURNBOOK, MISTPEN và BADCALL, trong đó BADCALL cũng có phiên bản dành cho Linux.

Mục tiêu cuối cùng của những nỗ lực này là kép: thu thập dữ liệu nhạy cảm và tạo ra nguồn thu bất hợp pháp cho chế độ, vi phạm các lệnh trừng phạt quốc tế áp đặt lên quốc gia này.



Một phương pháp thứ hai được các tác nhân đe dọa từ Triều Tiên áp dụng là cài cắm các nhân viên công nghệ thông tin (IT) vào các công ty trên khắp thế giới dưới vỏ bọc giả mạo, hoặc với tư cách cá nhân hoặc thông qua các công ty bình phong như DredSoftLabs và Metamint Studio được thành lập cho mục đích này. Điều này cũng bao gồm việc giành quyền truy cập đặc quyền vào các dịch vụ mã hóa và tạo điều kiện cho các cuộc tấn công có tác động lớn. Chiến dịch gian lận này được đặt biệt danh là Wagemole.

Chainalysis cho biết: "Một phần của năm kỷ lục này có thể phản ánh sự phụ thuộc ngày càng tăng vào việc thâm nhập của nhân viên CNTT vào các sàn giao dịch, đơn vị lưu ký và các công ty Web3, điều này có thể đẩy nhanh quá trình tiếp cận ban đầu và di chuyển ngang trước khi xảy ra các vụ trộm cắp quy mô lớn."

Bất kể phương pháp nào được sử dụng, số tiền bị đánh cắp đều được chuyển qua các dịch vụ chuyển tiền và bảo lãnh bằng tiếng Trung, cũng như các cầu nối chuỗi chéo, các bộ trộn và các thị trường chuyên biệt như Huione để rửa tiền. Hơn nữa, tài sản bị đánh cắp tuân theo một lộ trình rửa tiền nhiều giai đoạn có cấu trúc, diễn ra trong khoảng 45 ngày sau khi bị tấn công mạng.

    Giai đoạn 1: Phân lớp tức thì (Ngày 0-5), bao gồm việc tách biệt ngay lập tức nguồn tiền khỏi nguồn gây ra vụ trộm bằng cách sử dụng các giao thức DeFi và dịch vụ trộn tiền.
    Giai đoạn 2: Tích hợp ban đầu (Ngày 6-10), bao gồm việc chuyển tiền sang các sàn giao dịch tiền điện tử, dịch vụ trộn tiền cấp hai và các cầu nối chuỗi chéo như XMRt.
    Giai đoạn 3: Tích hợp cuối cùng (Ngày 20-45), bao gồm việc sử dụng các dịch vụ hỗ trợ chuyển đổi cuối cùng sang tiền tệ pháp định hoặc các tài sản khác.

"Việc họ sử dụng rộng rãi các dịch vụ rửa tiền chuyên nghiệp bằng tiếng Trung và các nhà giao dịch OTC (giao dịch phi tập trung) cho thấy các tác nhân đe dọa của CHDC Triều Tiên có sự liên kết chặt chẽ với các tác nhân bất hợp pháp trên khắp khu vực châu Á - Thái Bình Dương, và phù hợp với việc Bình Nhưỡng từng sử dụng các mạng lưới có trụ sở tại Trung Quốc để tiếp cận hệ thống tài chính quốc tế", công ty này cho biết.

Thông tin này được đưa ra sau khi Minh Phương Ngọc Vương, một người đàn ông 40 tuổi đến từ Maryland, bị kết án 15 tháng tù giam vì vai trò của mình trong đường dây lừa đảo nhân viên công nghệ thông tin, khi cho phép công dân Triều Tiên cư trú tại Thẩm Dương, Trung Quốc, sử dụng danh tính của ông để xin việc tại một số cơ quan chính phủ Hoa Kỳ, theo Bộ Tư pháp Hoa Kỳ (DoJ).

Từ năm 2021 đến năm 2024, Vong đã sử dụng các thủ đoạn gian dối để có được việc làm tại ít nhất 13 công ty khác nhau của Mỹ, bao gồm cả việc giành được hợp đồng tại Cục Hàng không Liên bang (FAA). Tổng cộng, Vong đã nhận được hơn 970.000 đô la tiền lương cho các dịch vụ phát triển phần mềm do các đồng phạm ở nước ngoài thực hiện.

"Vong đã cấu kết với những người khác, bao gồm John Doe, tức William James, một công dân nước ngoài sống tại Thẩm Dương, Trung Quốc, để lừa đảo các công ty Mỹ thuê Vong làm lập trình viên phần mềm làm việc từ xa", Bộ Tư pháp Mỹ cho biết. "Sau khi có được những công việc này bằng cách khai man về trình độ học vấn, đào tạo và kinh nghiệm của mình, Vong đã cho phép Doe và những người khác sử dụng thông tin đăng nhập máy tính của mình để thực hiện công việc phát triển phần mềm từ xa và nhận tiền công cho công việc đó."

Kế hoạch sử dụng lao động CNTT dường như đang trải qua sự thay đổi về chiến lược, với các tác nhân liên kết với Triều Tiên ngày càng đóng vai trò là nhà tuyển dụng để thu hút cộng tác viên thông qua các nền tảng như Upwork và Freelancer nhằm mở rộng quy mô hoạt động hơn nữa.

"Những kẻ tuyển dụng này tiếp cận mục tiêu bằng một kịch bản đã được soạn sẵn, yêu cầu 'cộng tác viên' giúp đấu thầu và thực hiện các dự án. Chúng cung cấp hướng dẫn từng bước về đăng ký tài khoản, xác minh danh tính và chia sẻ thông tin đăng nhập," Security Alliance cho biết trong một báo cáo được công bố tháng trước.

"Trong nhiều trường hợp, nạn nhân cuối cùng phải từ bỏ quyền truy cập hoàn toàn vào các tài khoản làm việc tự do của mình hoặc cài đặt các công cụ truy cập từ xa như AnyDesk hoặc Chrome Remote Desktop. Điều này cho phép kẻ tấn công hoạt động dưới danh tính và địa chỉ IP đã được xác minh của nạn nhân, cho phép chúng vượt qua các biện pháp kiểm soát xác minh nền tảng và thực hiện các hoạt động bất hợp pháp mà không bị phát hiện."