ZachXBT vạch trần mạng lưới hacker Bắc Triều Tiên cắm rễ sâu vào hệ sinh thái tiền mã hóa và DeFi

Bài viết dưới đây được biên soạn lại theo đúng hướng dẫn bạn cung cấp. Bạn chỉ cần thêm *tiêu đề* phù hợp khi xuất bản.

---

Theo *từ*CoinDesk*từ* đưa tin ngày 8 (giờ địa phương), một cụm hạ tầng nội bộ được cho là phục vụ cho nhóm tin tặc liên quan đến Bắc Triều Tiên đã bị phanh phui, cho thấy quy mô xâm nhập sâu vào hệ sinh thái *từ*tiền mã hóa*từ* và các mạng lưới *từ*DeFi*từ*. Người đứng sau phát hiện này là nhà phân tích on-chain nổi tiếng ZachXBT (tên thường gọi: 자크엑스비티), người đã công bố dữ liệu về máy chủ thanh toán nội bộ, nhật ký trò chuyện và lịch sử giao dịch, qua đó làm lộ danh tính và cấu trúc hoạt động của hàng trăm tài khoản.

Cụm dữ liệu mới cho thấy các lập trình viên và hacker bị nghi có liên hệ với chính quyền Bắc Triều Tiên đã cắm rễ sâu vào nhiều dự án *từ*DeFi*từ*, cổng thanh toán và hạ tầng hỗ trợ *từ*tiền mã hóa*từ* trên phạm vi toàn cầu, đặt ra thêm câu hỏi về mức độ an ninh và tuân thủ trong ngành.

---

Theo bài đăng trên mạng xã hội X của ZachXBT, anh đã thu thập được dữ liệu từ một máy chủ thanh toán nội bộ, hơn 390 tài khoản người dùng, cùng các bản ghi trò chuyện và lịch sử chuyển tiền được cho là liên quan tới mạng lưới IT Bắc Triều Tiên. Nguồn dữ liệu xuất phát từ một người tố giác ẩn danh, người này đã cung cấp thông tin thu được sau khi thiết bị bị nhiễm mã độc đánh cắp dữ liệu.

Loại mã độc được sử dụng không chỉ hút dữ liệu tài chính mà còn ghi lại nội dung tin nhắn IP, danh tính giả mạo và lịch sử hoạt động trình duyệt. Nhờ đó, nhóm phân tích có thể dựng lại cách thức các nhân sự IT và hacker tương tác nội bộ, chia tiền và che giấu tung tích.

bình luận Dạng mã độc “info-stealer” đang ngày càng trở thành vũ khí chính của các nhóm tấn công nhắm vào ngành *từ*tiền mã hóa*từ*, vì chúng cho phép thu thập ví, session đăng nhập sàn, dữ liệu 2FA và cả profile cá nhân chỉ trong một lần nhiễm.

---

Trang web trung tâm mà ZachXBT công khai có tên miền luckyguys.site, được mô tả như một “trung tâm thanh toán” – nơi xử lý đối soát nội bộ và chuyển tiền cho các tài khoản liên quan. Điều gây sốc là mật khẩu đăng nhập mặc định cho hệ thống này lại chỉ là “123456”, và tại thời điểm trích xuất dữ liệu vẫn còn ít nhất 10 tài khoản dùng chung mật khẩu yếu này.

Danh sách tài khoản trên hệ thống cho thấy đầy đủ vai trò, tên gọi mang phong cách Hàn Quốc, vị trí làm việc, cùng các mã nhóm nội bộ. Đáng chú ý, dữ liệu cũng trùng khớp với những cá nhân và thực thể đã nằm trong danh sách trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Mỹ, bao gồm các thực thể được biết đến với tên gọi So Baek-su, Sae-nal, Song-gwang.

Đặc biệt, các tin nhắn riêng giữa tài khoản “Rascal” và tài khoản quản trị hệ thống “PC-1234” thể hiện lịch sử thanh toán từ tháng 12 năm 2025 đến tháng 4 năm 2026, kèm theo chi tiết cách sử dụng danh tính giả để nhận tiền. Mọi khoản thanh toán đều được xử lý thông qua tài khoản PC-1234, cho thấy đây là “nút thắt cổ chai” điều phối dòng tiền trong mạng lưới.

bình luận Việc lộ các chuỗi hội thoại nội bộ cho phép cơ quan điều tra lần ngược lại cả cấu trúc quản trị, quy trình chia thưởng và hệ thống “lương” cho lực lượng IT xuyên biên giới – thứ mà trước đây chỉ được suy đoán qua các báo cáo tình báo.

---

ZachXBT ước tính, kể từ cuối tháng 11 năm 2025, hơn 3,5 triệu USD đã chảy qua ví thanh toán trung tâm liên quan đến luckyguys.site. Dòng tiền thường được nạp trực tiếp bằng *từ*tiền mã hóa*từ* từ các sàn giao dịch và dịch vụ trung gian, hoặc đi đường vòng qua tài khoản ngân hàng tại Trung Quốc để chuyển đổi giữa tiền pháp định và tài sản số.

Trong chu trình này, các nền tảng thanh toán xuyên biên giới như Payoneer được cho là cũng bị lợi dụng làm “trạm trung chuyển” trước khi dòng tiền quay trở lại hệ sinh thái *từ*tiền mã hóa*từ*. Sau khi xác nhận tiền đã vào, tài khoản PC-1234 sẽ phân bổ lại cho từng người dùng bằng cách cung cấp thông tin đăng nhập vào tài khoản trên sàn giao dịch hoặc ứng dụng fintech khác nhau.

Khi lần theo các ví nội bộ, ZachXBT cho biết đã tìm được nhiều điểm nối với các cụm ví trước đó từng được cộng đồng phân tích on-chain gắn nhãn là thuộc “cụm IT Bắc Triều Tiên”. Một ví hoạt động trên mạng Tron(TRX) đã bị Tether đóng băng vào tháng 12 năm 2025, cho thấy các tổ chức phát hành stablecoin cũng đã được cảnh báo và có hành động chủ động can thiệp.

Một dấu vết khác đến từ chủ sở hữu thiết bị bị nhiễm mã độc, sử dụng bí danh “Jerry”. Dữ liệu cho thấy Jerry dùng dịch vụ Astrill VPN để che giấu vị trí thực, đồng thời đứng sau nhiều hồ sơ xin việc với danh tính giả trên các nền tảng tuyển dụng freelancer và remote. Trong không gian Slack nội bộ, các thành viên còn chia sẻ một bài viết về ứng viên sử dụng deepfake được cho là thuộc mạng lưới IT Bắc Triều Tiên, kèm bình luận nửa đùa nửa thật: “Có phải đang nói về chúng ta không?”.

bình luận Việc tận dụng tài khoản ngân hàng Trung Quốc, các cổng thanh toán hợp pháp và dịch vụ VPN thương mại cho thấy chiến thuật pha trộn “tiền bẩn – tiền sạch” tinh vi, khiến việc phân biệt hành vi hợp pháp và mạng lưới trừng phạt trở nên khó khăn hơn nhiều đối với ngân hàng và sàn giao dịch.

---

Đánh giá về mức độ tinh vi của nhóm, ZachXBT cho rằng hạ tầng luckyguys.site không đạt đến độ chuyên nghiệp như các chiến dịch nổi tiếng gắn với các nhóm như AppleJeus hay TraderTraitor, vốn bị cáo buộc thuộc mạng lưới Lazarus. Tuy vậy, những dữ liệu thu thập được tiếp tục củng cố nhận định rằng lực lượng IT Bắc Triều Tiên có thể mang về hàng triệu USD mỗi tháng thông qua công việc từ xa, lừa đảo tuyển dụng và khai thác lỗ hổng trong ngành *từ*tiền mã hóa*từ*.

Sau khi thông tin được công khai, cổng thanh toán nội bộ đã bị đưa xuống ngoại tuyến, nhưng ZachXBT khẳng định toàn bộ dữ liệu liên quan đã được sao lưu đầy đủ và sẵn sàng chia sẻ với các cơ quan thực thi pháp luật.

bình luận Động thái “rút phích” nhanh chóng cho thấy mạng lưới này vẫn đang hoạt động và theo dõi sát sao truyền thông phương Tây, đồng thời có khả năng tái triển khai hạ tầng mới nếu không bị phong tỏa về mặt tài chính.

---

Vụ việc lần này một lần nữa làm nổi bật rủi ro *từ*tiền mã hóa*từ* bị sử dụng như kênh né tránh trừng phạt và tài trợ cho hoạt động tài chính trong “vùng xám”. Giới chuyên gia dự báo áp lực tuân thủ lên các sàn giao dịch tập trung (CEX) và các bàn giao dịch OTC sẽ tiếp tục gia tăng, đặc biệt với các dòng stablecoin chảy qua những khu vực bị trừng phạt.

Trong bối cảnh các vụ *từ*hack tiền mã hóa*từ* được quy cho các nhóm liên quan tới Bắc Triều Tiên liên tục xuất hiện, nhiều khả năng cơ quan quản lý sẽ tiếp tục siết chặt giám sát dòng tiền xuyên biên giới, mở rộng yêu cầu KYC/AML đối với ví cá nhân, cầu nối cross-chain và các công cụ bảo vệ quyền riêng tư như mixer hoặc coin-join.

Kết luận, phát hiện mới từ ZachXBT không chỉ cung cấp thêm bằng chứng về cách mạng lưới IT Bắc Triều Tiên vận hành mà còn đặt ra bài toán khó cho toàn bộ hệ sinh thái *từ*tiền mã hóa*từ* và *từ*DeFi*từ*: làm thế nào cân bằng giữa tính mở, phi tập trung với yêu cầu tuân thủ và an ninh quốc gia trong một môi trường ngày càng phức tạp.