Một chiến dịch tấn công mạng tinh vi từ Triều Tiên đang âm thầm xâm nhập vào các vị trí việc làm công nghệ từ xa trên toàn cầu.
Nhóm này sử dụng hàng loạt danh tính giả cùng giấy tờ và tài khoản mua trên mạng để chiếm lĩnh các vị trí phát triển dự án blockchain, qua đó thể hiện sự tổ chức chặt chẽ và mánh khóe tinh vi trong hoạt động tội phạm công nghệ cao.
- Nhóm IT Triều Tiên vận hành hơn 30 danh tính giả để nhận các vị trí lập trình blockchain từ xa.
- Ví tiền điện tử của nhóm liên quan tới vụ khai thác lỗ hổng Favrr trị giá 680 nghìn USD và nhiều giao dịch đáng ngờ khác.
- Chiến dịch đánh cắp tiền điện tử của Triều Tiên đã lấy đi 1,6 tỷ USD trong năm 2025, tương đương 35% tổng lượng tiền điện tử bị đánh cắp.
Chiến dịch việc làm từ xa của Triều Tiên hoạt động ra sao?
Nhóm Triều Tiên gồm năm thành viên đã tạo và quản lý hơn 30 nhân dạng giả, sử dụng giấy tờ chính phủ giả và tài khoản mua trên các nền tảng việc làm như Upwork, LinkedIn để nhận công việc phát triển dự án blockchain.
Số liệu rò rỉ từ thiết bị của một nhân viên IT Triều Tiên cho thấy họ vận hành các danh sách công việc, báo cáo tuần, chi tiêu và lịch họp bằng tiếng Anh. Họ dùng công cụ AI, thuê máy tính, VPN và các proxy để che dấu hoạt động, đồng thời sử dụng Google Translate phối hợp với IP Nga để tìm kiếm dữ liệu liên quan.
Telegram được sử dụng để phối hợp nhận việc, xử lý thanh toán và chuyển lương qua ví tiền điện tử, cho thấy quy trình vận hành bài bản và tính khả thi cao của nhóm.
Ví tiền điện tử liên quan đến vụ khai thác Favrr trị giá 680 nghìn USD có gì đặc biệt?
Một ví tiền điện tử liên quan đến nhóm này đã thực hiện nhiều giao dịch, trong đó có khoản lợi nhuận 680 nghìn USD từ vụ khai thác lỗ hổng Favrr tháng 6 năm 2025. Nhóm IT Triều Tiên đã tham gia với vai trò CTO và lập trình viên, dùng tài liệu giả để thực hiện các hành vi gian lận.
Các thành viên khác cũng được kết nối với các dự án khác nhau thông qua ví này, cho thấy sự liên kết chặt chẽ giữa các hoạt động tội phạm mạng và kế hoạch chi tiết nhằm khai thác tiền điện tử.
Tại sao các công ty khó ngăn chặn nhóm IT Triều Tiên chiếm lĩnh việc làm từ xa?
Theo nhà điều tra ZachXBT, khó khăn lớn nhất là sự phối hợp kém giữa các doanh nghiệp và cơ quan an ninh, cùng với thái độ phớt lờ cảnh báo từ các đội tuyển dụng. Nhóm này không quá tinh vi về kỹ thuật nhưng rất kiên trì trong việc tràn ngập thị trường việc làm lập trình từ xa trên toàn cầu.
Họ thường dùng Payoneer để chuyển khoản thanh toán thành tiền điện tử, qua đó đánh lừa hệ thống và tránh bị phát hiện nhanh chóng. Chính sự trùng lặp nỗ lực từ nhiều phía khiến việc triệt phá nhóm trở nên thách thức.
Chiến dịch này thể hiện sự kết hợp tinh vi giữa số lượng nhân sự kiểm soát nhiều danh tính giả và kỹ thuật sử dụng công nghệ để che giấu dấu vết, đánh lừa cả nền tảng tuyển dụng lẫn các cơ quan bảo mật.
ZachXBT, nhà điều tra Blockchain, tháng 8 năm 2025
Mạng lưới tội phạm tiền điện tử của Triều Tiên hiện nay ra sao?
Hoạt động ăn cắp tiền điện tử của Triều Tiên đang mở rộng với quy mô lớn. Trong năm 2025, họ đã đánh cắp 1,6 tỷ USD, chiếm 35% tổng số tiền bị đánh cắp của toàn ngành. Các vụ việc lớn có thể kể đến như tấn công nền tảng Axie Infinity (620 triệu USD), DMM Bitcoin (305 triệu USD), và Bybit (1,5 tỷ USD).
Chiêu thức phổ biến là lừa đảo qua các tuyển dụng IT giả để chiếm quyền truy cập vào hệ thống đám mây nhằm ăn cắp tài sản số. Các cơ quan an ninh quốc tế đang đối mặt với thách thức lớn trong việc ngăn chặn hoạt động tinh vi và không ngừng mở rộng này.
Triều Tiên hiện là một trong những tác nhân lớn nhất gây ra các vụ tấn công mã độc và chiếm đoạt tài sản số trong lĩnh vực tiền điện tử toàn cầu.
Báo cáo TRM Labs, H1 năm 2025
Các câu hỏi thường gặp
Chiến dịch tấn công việc làm từ xa của Triều Tiên hoạt động thế nào?
Họ vận hành hàng chục danh tính giả với giấy tờ và tài khoản mua để nhận các vị trí phát triển dự án blockchain từ xa, sau đó chuyển tiền qua ví tiền điện tử.
Tại sao các công ty gặp khó khăn trong việc phát hiện nhóm này?
Do phối hợp yếu kém giữa doanh nghiệp và cơ quan an ninh, cộng thêm sự chống đối từ đội tuyển dụng, nhóm này có thể hoạt động liên tục và đa dạng.
Quy mô thiệt hại do nhóm Triều Tiên gây ra là bao nhiêu?
Năm 2025, nhóm này đã chiếm đoạt khoảng 1,6 tỷ USD tiền điện tử, chiếm 35% tổng giá trị bị đánh cắp trên toàn ngành.
Ví tiền điện tử liên quan đến các vụ tấn công của Triều Tiên có đặc điểm gì?
Các ví này thực hiện nhiều giao dịch liên quan đến các vụ khai thác lỗ hổng và chuyển tiền quy mô lớn, thường dùng để điều phối thu nhập từ các hành vi gian lận.
Những biện pháp nào nên được áp dụng để đối phó với nhóm này?
Phối hợp tốt hơn giữa công ty với cơ quan bảo mật, cùng nâng cao nhận thức tuyển dụng và giám sát chặt chẽ các tài khoản nghi ngờ là cần thiết.
