Nhóm hacker Triều Tiên giả danh lập trình viên chiếm đoạt hơn 3,5 triệu USD crypto từ các dự án tiền mã hóa

Bài viết dưới đây được biên soạn lại theo đúng hướng dẫn, với *từ* **Bitcoin(BTC)**, **Ethereum(ETH)**, **tiền mã hóa**, **crypto**, **hacker** được ưu tiên làm nổi bật để dễ theo dõi.

---

Các nhóm IT liên quan tới Triều Tiên bị phát hiện đã dùng danh tính giả để đóng vai lập trình viên, thâm nhập vào các dự án *từ* tiền mã hóa *từ* và khai thác lỗ hổng vận hành, chỉ trong vài tháng đã thu về hơn 3,5 triệu đô la Mỹ. Hình thức này không chỉ dừng ở mức lừa đảo tuyển dụng mà còn kết hợp *từ* rửa tiền *từ* và tấn công *từ* crypto *từ*, làm dấy lên lo ngại lớn về an ninh trong ngành.

Theo bài đăng trên X ngày 3 (giờ địa phương) của ZachXBT, một đơn vị theo dõi *từ* blockchain *từ* nổi tiếng trong cộng đồng, một *từ* hacker *từ* ẩn danh đã xâm nhập thiết bị của một nhân sự IT Triều Tiên và trích xuất được nhiều tài liệu nội bộ. Trong đó có thông tin về một cá nhân dùng bí danh “Jerry” cùng đội nhóm khoảng 140 người, từ cuối tháng 11 đến nay mỗi tháng tạo ra khoảng 1 triệu đô la Mỹ doanh thu, với tổng số hơn 3,5 triệu đô la Mỹ *từ* crypto *từ* đã được kiểm soát.

Các tài liệu rò rỉ cho thấy nhóm này sử dụng website “luckyguys.site” để quản lý dòng tiền, tất cả thành viên dùng chung mật khẩu “123456” cho tài khoản nội bộ. ZachXBT nhận định một số người dùng nền tảng này có liên hệ với các cá nhân bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Mỹ trừng phạt, bao gồm So Baek-su, Sae-nal và Song Gwang. Dòng tiền *từ* tiền mã hóa *từ* sau khi gom lại được chuyển qua nền tảng thanh toán trực tuyến Payoneer, đổi sang tiền pháp định rồi tiếp tục chảy vào các tài khoản ngân hàng tại Trung Quốc.

Bên cạnh đó, một phần địa chỉ ví do ZachXBT truy vết được kết nối với các ví liên quan Triều Tiên mà Tether đã đưa vào danh sách đen vào tháng 12 năm ngoái. Điều này cho thấy các dòng tiền bất hợp pháp không phải là những vụ việc rời rạc, mà đang gắn chặt với mạng lưới né tránh trừng phạt đã tồn tại từ trước, bắc cầu giữa nhiều chiến dịch khác nhau trên hệ sinh thái *từ* Bitcoin(BTC) *từ*, *từ* Ethereum(ETH) *từ* và các tài sản số khác.

Trong vài năm gần đây, nhóm *từ* hacker *từ* và nhân sự IT dưới sự hậu thuẫn của chính quyền Triều Tiên liên tục được nhắc tới như một trong những mối đe dọa lớn nhất với ngành *từ* crypto *từ*. Các báo cáo quốc tế cho biết các nhóm này kể từ năm 2009 đã chiếm đoạt hơn 7 tỷ đô la Mỹ, bao gồm những vụ tấn công nổi bật vào sàn Bybit và cầu nối Ronin Bridge, gây thiệt hại hàng trăm triệu đô la. Gần đây hơn, vụ tấn công vào Drift Protocol hôm 1 tháng 4 cũng bị nhiều cơ quan phân tích gán trách nhiệm cho tác nhân liên quan Triều Tiên.

Tài liệu bị lộ còn chứa một bảng “xếp hạng nội bộ”, ghi lại chi tiết mỗi nhân sự IT đã mang về bao nhiêu *từ* tiền mã hóa *từ* cho tổ chức kể từ ngày 8 tháng 12. Mỗi dòng dữ liệu đi kèm liên kết trực tiếp tới các giao dịch trên trình khám phá *từ* blockchain *từ*, cho thấy dòng tiền được giám sát sát sao và doanh thu của từng cá nhân được tính điểm như một hệ thống KPI. Điều này củng cố nhận định rằng họ hoạt động theo mô hình tổ chức chặt chẽ, chứ không phải các đối tượng riêng lẻ hành động tự phát.

Dù vậy, ZachXBT đánh giá mạng lưới do “Jerry” điều phối vẫn kém tinh vi hơn so với các nhóm Triều Tiên khác như AppleJeus hay TraderTraitor. Theo phân tích của anh, các chiến dịch AppleJeus và TraderTraitor có quy trình tấn công hiệu quả hơn nhiều, từ xây dựng phần mềm độc hại, tạo công ty bình phong, đến khai thác trực tiếp hạ tầng của sàn giao dịch *từ* crypto *từ* và dự án tài chính phi tập trung (DeFi), qua đó tạo ra mức độ rủi ro lớn hơn hẳn cho toàn ngành.

Từ góc độ an ninh, vụ việc này cho thấy năng lực tấn công mạng của Triều Tiên đã vượt xa mô hình “tấn công mã nguồn” truyền thống. Họ hiện kết hợp nhiều lớp chiến thuật: giả mạo hồ sơ xin việc, len lỏi vào đội ngũ phát triển, thao túng quy trình vận hành, *từ* rửa tiền *từ* qua các cổng thanh toán quốc tế và hệ thống ngân hàng khu vực. Đối với các công ty đang vận hành sàn giao dịch, dự án DeFi hay ví lưu ký, điều này đồng nghĩa việc thẩm định nhân sự kỹ sư, kiểm tra nghiêm ngặt quyền truy cập ví, cùng theo dõi các tuyến thanh toán qua những nền tảng như Payoneer hoặc ngân hàng Trung Quốc, sẽ trở thành tuyến phòng thủ không thể xem nhẹ.

*bình luận*: Các chuyên gia an ninh nhận định, trong bối cảnh thị trường *từ* Bitcoin(BTC) *từ*, *từ* Ethereum(ETH) *từ* và tài sản số nói chung ngày càng thu hút dòng tiền toàn cầu, mô hình tấn công “IT giả danh – dự án thật” sẽ còn tiếp tục mở rộng. Nhà phát triển và nhà đầu tư nên ưu tiên các quy trình kiểm tra lý lịch, xác minh danh tính đa tầng và sử dụng dịch vụ phân tích on-chain để sớm phát hiện dấu hiệu liên quan mạng lưới Triều Tiên trước khi thiệt hại xảy ra.