Hacker Bắc Triều Tiên dùng danh tính giả và Google Docs thâm nhập ngành tiền mã hóa

Bắc Triều Tiên sử dụng danh tính giả xâm nhập ngành tiền mã hóa thông qua Google Docs và Upwork

Theo điều tra do nhà phân tích chuỗi khối nổi tiếng ZachXBT công bố ngày 24 (giờ địa phương), các nhóm hacker có liên hệ với chính quyền Bắc Triều Tiên đang sử dụng các công cụ phổ biến như Google Docs, Upwork và LinkedIn để thâm nhập sâu vào ngành phát triển tiền mã hóa toàn cầu. Mặc dù chỉ hoạt động theo nhóm nhỏ gồm khoảng 5 người, những hacker này đã tạo ra hơn 30 danh tính giả nhằm xâm nhập vào các dự án tiền mã hóa quốc tế.

Dựa trên tài liệu thu được thông qua việc tấn công thiết bị của các kỹ sư IT trực thuộc Bắc Triều Tiên, nhóm này đã sử dụng VPN, phần mềm AI, máy tính và cả giấy tờ giả để đăng ký tài khoản và xin việc trên nhiều nền tảng. Dữ liệu từ Google Drive, ảnh chụp màn hình, hồ sơ Chrome cho thấy họ sử dụng sản phẩm của Google để quản lý lịch làm việc, phân chia nhiệm vụ và lập ngân sách, đồng thời sử dụng tiếng Anh để giao tiếp trong các nhóm làm việc.

Tài liệu đáng chú ý trong số đó là bảng tính năm 2025 chứa nội dung báo cáo công việc hàng tuần giữa các thành viên và dữ liệu kế toán. Một số ghi chú cá nhân trong tài liệu cho thấy họ đang cố gắng cải thiện hiệu suất bằng cách nghiêm túc tự phê bình với các đánh giá như “chưa hiểu rõ công việc” hay “cần nỗ lực hơn nữa”.

Ngoài ra, điều tra còn phát hiện một tập tin lưu lại bằng chứng về việc mua sắm các thông tin ăn cắp như số an sinh xã hội, tài khoản trên Upwork và LinkedIn, số điện thoại ảo, dịch vụ AI, máy tính thuê và VPN. Các script phục vụ cho phỏng vấn với tên giả “Henry Zhang” cùng lịch họp nội bộ cũng được tìm thấy.

Để ngụy trang là đang làm việc ở nước ngoài, nhóm hacker này thuê hoặc mua máy tính, sau đó sử dụng phần mềm điều khiển từ xa như AnyDesk để thao tác từ xa. Phần tiền thù lao họ nhận được sau khi làm việc thường được chuyển đổi sang tiền mã hóa thông qua nền tảng Payoneer. Một trong những địa chỉ ví liên quan là “0x78e1” — bị phát hiện có dính líu trong vụ hack dự án Favrr hồi tháng 6 năm 2025, với thiệt hại lên tới 680.000 USD (khoảng 9,45 tỷ đồng). Chuyên gia công nghệ cao cấp (CTO) và nhiều lập trình viên trong vụ việc được xác định có liên hệ với nhóm hacker đến từ Bắc Triều Tiên.

Một chi tiết khác củng cố nghi vấn là nhóm hacker thường xuyên dùng Google Dịch để tra cứu các từ khóa bằng Tiếng Hàn thông qua IP của Nga, cho thấy nguồn gốc hoạt động của họ. ZachXBT cho biết: “Dù không thuộc dạng kỹ thuật quá tinh vi, sự kiên trì ứng tuyển khắp nơi và khả năng ngụy trang của họ là mối đe dọa mang tính chiến lược”. Theo ZachXBT, sự thiếu hợp tác giữa các công ty tư nhân và các nền tảng dịch vụ, cũng như thái độ phớt lờ các cảnh báo nội bộ, đang vô tình tạo ra rào cản trong việc truy vết và ngăn chặn các hoạt động này.

Song song đó, nhóm tin tặc khét tiếng Lazarus Group của Bắc Triều Tiên tiếp tục là mối đe dọa hàng đầu cho ngành tiền mã hóa. Hồi tháng 2 năm 2025, nhóm này thực hiện vụ tấn công lớn nhất lịch sử khi đánh cắp khoảng 1,5 tỷ USD (tương đương 20.850 tỷ đồng) từ sàn giao dịch Bybit tại Dubai, bằng cách khai thác lỗ hổng trong cơ chế đa chữ ký của ví Safe{Wallet}. Cục điều tra liên bang Mỹ (FBI) xác định đây là một phần của chiến dịch tấn công với tên mã “TraderTraitor” do Bắc Triều Tiên đứng sau.

Đến tháng 7 cùng năm, Lazarus tiếp tục bị phát hiện có liên hệ với vụ tấn công 44 triệu USD (gần 612 tỷ đồng) vào sàn giao dịch CoinDCX của Ấn Độ, khi nhóm hacker khai thác thông tin đăng nhập rò rỉ để tiếp cận cơ sở hạ tầng thanh khoản nội bộ.

“Từ khóa” như “Bắc Triều Tiên”, “tiền mã hóa” và “hacker” đang ngày càng xuất hiện nhiều trong các chiến dịch an ninh mạng toàn cầu, phản ánh sự đe dọa do tin tặc có tổ chức mang lại.

Bình luận: Sự thâm nhập của hacker từ Bắc Triều Tiên không chỉ là hành vi phạm pháp, mà còn là đòn tấn công trực diện vào lòng tin của cộng đồng phát triển blockchain toàn cầu. Cần có sự hợp lực mạnh mẽ hơn từ các công ty bảo mật, nền tảng làm việc trực tuyến và nhà phát triển để ngăn chặn hiệu quả hình thức “gián điệp kỹ thuật số” đang lan rộng này.