Cá nhân IT Triều Tiên điều hành 30+ tài khoản giả tấn công tiền điện tử 680.000 USD

Nhóm nhân sự IT Triều Tiên sử dụng hơn 30 danh tính giả để chiếm quyền truy cập nhà phát triển, triển khai hoạt động bất hợp pháp trên nhiều nền tảng kỹ thuật số.

Họ thực hiện các hành vi tấn công nhắm vào nền tảng Favrr với số tiền thiệt hại lên tới 680.000 USD, đồng thời sử dụng công cụ của Google, VPN và các dịch vụ AI nhằm che giấu dấu vết cùng mở rộng phạm vi hoạt động.

Nhóm nhân sự IT Triều Tiên hoạt động như thế nào?

Nhóm nhỏ này sử dụng hơn 30 danh tính giả để chiếm vị trí nhà phát triển, thuê tài khoản Upwork và LinkedIn thông qua việc mua bán tài khoản dựa trên ID chính phủ.

Qua việc tấn công bằng phần mềm quản lý AnyDesk, họ tiếp cận dữ liệu quan trọng gồm các file Google Drive, hồ sơ Chrome và ảnh chụp màn hình. Việc này cho thấy khả năng chuyên môn kỹ thuật và tính tổ chức cao, gây thách thức lớn cho phía bảo mật.

Liên hệ với vụ tấn công Favrr và quy mô tổ chức ra sao?

Địa chỉ ví 0x78e1 được xác định có liên quan chặt chẽ đến vụ tấn công trên nền tảng Favrr làm thiệt hại 680.000 USD vào tháng 6/2025.

Lợi dụng các công cụ của Google để lên kế hoạch công việc, mua số an sinh social và đăng ký các dịch vụ AI, nhóm này còn sử dụng VPN để che giấu IP thực tế và thao tác dịch qua Google Translate, thể hiện sự chuẩn bị kỹ càng và xử lý đa nhiệm trong hoạt động phạm pháp.

“Việc nhóm này có thể tạo hàng chục danh tính giả và thao tác qua nhiều nền tảng điện tử chứng tỏ mức độ tinh vi cao và những điểm yếu trong quản lý tuyển dụng, phối hợp bảo mật của các dịch vụ liên quan.”

Chuyên gia an ninh mạng, 2025

Thách thức lớn trong việc ngăn chặn hoạt động này là gì?

Thiếu sự phối hợp chặt chẽ giữa các dịch vụ và lơ là trong quá trình tuyển dụng dẫn đến khó khăn trong việc phát hiện và ngăn chặn kịp thời các hành vi giả mạo, tấn công mạng.

Việc các nhân sự này sử dụng IP Nga và dịch vụ VPN nhằm che dấu hoạt động cũng làm tăng độ khó trong truy vết, đòi hỏi nâng cao năng lực kỹ thuật và luật pháp để xử lý.

Có thể áp dụng giải pháp nào để hạn chế sự việc tương tự?

Thắt chặt kiểm tra danh tính người dùng qua các nền tảng việc làm và tăng cường ứng dụng công nghệ giám sát hành vi bất thường sẽ giúp giảm thiểu rủi ro từ các danh tính giả.

Bên cạnh đó, hợp tác chặt chẽ đa quốc gia trong việc kiểm soát IP, VPN và kiểm tra các dạng đăng ký dịch vụ công nghệ là cần thiết để nâng cao hiệu quả phòng chống tội phạm mạng.

Các giải pháp kỹ thuật nên được triển khai ra sao để ngăn chặn hiểm họa?

Ưu tiên áp dụng AI và máy học để phát hiện mẫu hành vi bất thường từ các danh tính giả, kèm theo hệ thống cảnh báo thời gian thực nhằm hỗ trợ đội ngũ bảo mật phản ứng nhanh.

Đồng thời, nâng cao nhận thức cho các nhà tuyển dụng và quản trị viên về các rủi ro an ninh, phối hợp với các chuyên gia để kiểm soát tốt hơn các quyền truy cập và thiết bị đầu cuối.

Các trường hợp tương tự đã từng xảy ra ở đâu, ảnh hưởng ra sao?

Những sự việc tương tự cho thấy nhóm tội phạm mạng thường lợi dụng các nền tảng việc làm trực tuyến để tạo danh tính giả và thực hiện hành vi tấn công quy mô lớn, gây thiệt hại tài chính nghiêm trọng.

Qua các báo cáo gần đây, hoạt động này không chỉ ảnh hưởng tới một nền tảng mà tiềm ẩn nguy cơ lan rộng sang các hệ thống blockchain và DeFi.

Có thể so sánh mức độ nghiêm trọng của vụ việc với các cuộc tấn công khác?

Những câu hỏi thường gặp

Nhóm Triều Tiên đã sử dụng hình thức gian lận nào?

Họ tạo hơn 30 danh tính giả, sử dụng tài khoản Upwork và LinkedIn mua từ ID chính phủ để chiếm vị trí nhà phát triển.

Thiệt hại tài chính do vụ tấn công Favrr là bao nhiêu?