Hacker Triều Tiên giả tuyển IT, đánh cắp hàng triệu USD tiền điện tử

Updated: 06/08/2025 at 6:00

Các nhóm hacker Triều Tiên đang ngày càng tinh vi hơn khi lợi dụng nhu cầu làm việc từ xa trong lĩnh vực IT để lừa đảo, xâm nhập hệ thống đám mây và đánh cắp tiền điện tử trị giá hàng triệu USD — theo hai báo cáo độc lập từ Google Cloud và công ty an ninh mạng Wiz.

Theo báo cáo Cloud Threat Horizons nửa cuối năm 2025 của Google Cloud, nhóm Tình báo Mối đe dọa của Google (GTIG) đang theo dõi sát sao UNC4899 — một nhóm hacker Triều Tiên từng thành công xâm nhập vào hai công ty sau khi tiếp cận nhân viên của họ qua mạng xã hội.

Trong cả hai trường hợp, UNC4899 đã giao cho nhân viên một số “bài test công việc”, khiến họ vô tình chạy phần mềm độc hại trên máy tính, tạo điều kiện để nhóm này thiết lập kết nối giữa trung tâm điều khiển và hệ thống đám mây của công ty mục tiêu.

Qua đó, UNC4899 có thể thâm nhập sâu vào môi trường đám mây của nạn nhân, chiếm đoạt dữ liệu đăng nhập và truy vết các máy chủ đang xử lý giao dịch tiền điện tử. Mặc dù các vụ tấn công nhắm vào hai công ty và nền tảng đám mây khác nhau (Google Cloud và AWS), hậu quả đều giống nhau: bị đánh cắp lượng crypto trị giá nhiều triệu USD.

Jamie Collier, Cố vấn Tình báo Mối đe dọa Khu vực châu Âu tại Google, cho biết: “Chiêu dụ việc làm của các nhóm hacker Triều Tiên giờ đã trở nên phổ biến và tinh vi. Họ thường giả làm nhà tuyển dụng, nhà báo, chuyên gia trong ngành hoặc giáo sư đại học để tiếp cận mục tiêu. Các cuộc trao đổi thường kéo dài qua nhiều lượt để tạo lòng tin.”

Triển khai nhanh – Ứng dụng AI

Collier cũng nhấn mạnh rằng hacker Triều Tiên nằm trong số những nhóm đầu tiên áp dụng công nghệ AI để tạo các email giao tiếp thuyết phục hơn và viết mã độc tinh vi hơn.

Wiz, một công ty chuyên về bảo mật đám mây, cũng phát hiện hoạt động của UNC4899 — nhóm còn được biết đến với các tên gọi TraderTraitor, Jade Sleet và Slow Pisces.

Theo Wiz, TraderTraitor không chỉ là một nhóm đơn lẻ mà là tên gọi chung cho chuỗi hoạt động tấn công mạng do nhiều nhóm thân Triều Tiên thực hiện như Lazarus Group, APT38, BlueNoroff và Stardust Chollima.

Wiz cho biết chiến dịch của UNC4899 bắt đầu từ năm 2020, tận dụng các “ứng dụng crypto giả mạo” viết bằng JavaScript và Node.js trên nền Electron, nhằm dụ nhân viên tải và chạy mã độc.

Trong giai đoạn 2020–2022, nhóm này đã thành công xâm nhập nhiều tổ chức, trong đó có vụ hack lừng danh vào Ronin Network của Axie Infinity trị giá 620 triệu USD do nhóm Lazarus thực hiện.

Sang năm 2023, chiến thuật của TraderTraitor chuyển sang sử dụng mã nguồn mở chứa mã độc. Đến năm 2024, nhóm tăng cường các chiêu lừa tuyển dụng, nhắm trực tiếp vào các sàn giao dịch crypto.

Hai vụ tấn công nghiêm trọng nhất do TraderTraitor gây ra là: vụ hack 305 triệu USD tại sàn DMM Bitcoin của Nhật Bản và vụ hack 1,5 tỷ USD vào Bybit cuối năm 2024 — được sàn công bố vào tháng 2 năm nay.

Đích ngắm: Hệ thống đám mây

Cả hai báo cáo từ Google và Wiz đều cho thấy các vụ tấn công này đều nhắm vào cơ sở hạ tầng đám mây. Benjamin Read, Giám đốc Tình báo Chiến lược tại Wiz, nhận định: “Hệ thống đám mây là nơi lưu trữ dữ liệu — và do đó là nơi có tiền. Đặc biệt trong lĩnh vực crypto, các công ty thường xây dựng hệ thống theo hướng ưu tiên đám mây ngay từ đầu.”

Ông cho biết việc tấn công đám mây giúp hacker mở rộng quy mô ảnh hưởng và tối đa hóa lợi nhuận. Theo ước tính, trong năm 2025 đến nay, các nhóm này đã đánh cắp khoảng 1,6 tỷ USD tiền điện tử.

Read cũng tiết lộ lực lượng của các nhóm như TraderTraitor có thể lên tới hàng ngàn người, hoạt động trong nhiều nhóm khác nhau với mức độ chồng chéo nhất định. “Dù rất khó để có con số chính xác, nhưng rõ ràng chính quyền Triều Tiên đang đầu tư rất lớn vào năng lực tấn công mạng.”

Báo cáo từ TRM Labs hồi tháng 2 cũng khẳng định Triều Tiên đứng sau 35% tổng số tiền điện tử bị đánh cắp toàn cầu trong năm 2024.

Các chuyên gia cảnh báo rằng Triều Tiên sẽ còn tiếp tục đóng vai trò lớn trong các hoạt động hack liên quan đến tiền điện tử nhờ khả năng thích nghi nhanh và không ngừng nâng cấp chiến thuật.

“Các nhóm hacker Triều Tiên là một lực lượng linh hoạt và nhanh nhạy, luôn điều chỉnh để đáp ứng mục tiêu chiến lược và tài chính của chế độ,” ông Collier của Google kết luận.

Ông nhấn mạnh việc tận dụng AI đang giúp các nhóm hacker nhân rộng hoạt động và mở rộng quy mô tấn công. “Chúng tôi chưa thấy dấu hiệu nào cho thấy họ sẽ dừng lại, và nhiều khả năng các hoạt động này sẽ còn gia tăng.”

Vương Tiễn

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.

  • Thẻ đính kèm:
  • Bybit
Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Bitcoin (BTC) đã bứt phá vượt mốc $115.000 vào ngày thứ Hai, nhưng đà tăng nhanh chóng suy yếu khi phe bò không thể duy trì áp lực ở vùng giá cao. Ngay sau đó, lực bán mạnh đã kéo giá giảm về sát ngưỡng $113.000 và hiện đang gây... ...

Bitcoin đã không thể lấy lại mốc 115.500 USD vào thứ Hai, trong bối cảnh nhu cầu phòng ngừa rủi ro giảm giá thông qua quyền chọn gia tăng đáng kể. Động thái này mở ra cơ hội cho phe gấu đẩy giá xuống dưới ngưỡng 112.000 USD, bất chấp... ...

Polygon (POL) đã giảm 4% trong 7 ngày qua, trong khi biểu đồ 3 tháng chỉ ghi nhận mức tăng khiêm tốn 1,3%. Tuy nhiên, với mức tăng hơn 3% trong ngày, coin này đang thu hút sự chú ý trở lại từ các trader. Nhưng không chỉ riêng giá... ...

Bitcoin (BTC) chật vật giữ mốc $113.000 ngay sau phiên mở cửa của Phố Wall, trong bối cảnh các phân tích kỹ thuật cảnh báo khả năng thiết lập đáy mới. Vùng $109.000 trở thành mục tiêu giá mới cho BTC Dữ liệu từ TradingView cho thấy giá Bitcoin (BTC)... ...

Giá Hedera (HBAR) đang trong quá trình phục hồi sau đợt sụt giảm mạnh gần đây. Dù đã có những tín hiệu hồi phục nhẹ, altcoin này vẫn chưa thể tạo được động lực tăng bền vững, khiến tâm lý thị trường tiếp tục thận trọng. Một vấn đề đáng... ...

Không còn nghi ngờ gì nữa, đợt tăng giá 50% của Ethereum (ETH) trong tháng 7 không phải là sự ngẫu nhiên. Lượng vốn từ các tổ chức lớn đã đổ vào ồ ạt, thậm chí vượt cả Bitcoin về mặt dòng tiền chảy vào. Khi các công ty niêm... ...

Dom, nhà phân tích thị trường độc lập chuyên theo dõi dữ liệu dòng lệnh on-chain cho biết, sàn giao dịch Upbit của Hàn Quốc hiện có thể đang đóng vai trò lớn trong việc điều chỉnh giá giao ngay của XRP – đồng tiền điện tử lớn thứ năm thế giới... ...

TRON (TRX) đang “vượt trọng lực” – một cách nói đầy ẩn ý khi Justin Sun vừa hoàn tất chuyến bay vào vũ trụ. Trong khi phần lớn các coin trong top 20 đang chìm trong sắc đỏ trên biểu đồ tuần, TRX lại là điểm sáng hiếm hoi với mức... ...

Sau cú bứt phá ấn tượng trong tháng 7, SUI đang bước vào giai đoạn điều chỉnh, với mức giảm gần 9% trong tuần qua và hiện giao dịch quanh 3,5 USD. Nhưng với những trader dày dạn kinh nghiệm, không phải mọi nhịp giảm đều báo hiệu rủi ro... ...

Sau đợt tăng giá ấn tượng trong tháng 7, Dogecoin (DOGE) đã bước vào giai đoạn điều chỉnh, giống như phần lớn các đồng tiền điện tử khác trên thị trường. Phe bán dường như đang chiếm lại quyền kiểm soát, đẩy giá DOGE giảm sâu hơn sau khi chốt... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode