Nhóm hacker Lazarus của Triều Tiên tiếp tục ra tay với vụ lừa đảo 3,2 triệu USD

Các hacker có liên hệ với chính quyền Triều Tiên đang đẩy mạnh các cuộc tấn công vào ngành tiền điện tử, với những chiến thuật ngày càng tinh vi đến từ nhóm Lazarus. Theo nhà phân tích on-chain ZachXBT, chuỗi vụ việc gần đây cho thấy nhóm này sử dụng tài khoản giả mạo lập trình viên và các chiến lược rửa tiền phức tạp.

Vào ngày 29/6, ZachXBT tiết lộ rằng một người dùng đã bị lừa mất 3,2 triệu USD tài sản số vào ngày 16/5 bởi nhóm Lazarus. Số tiền bị đánh cắp đã nhanh chóng được chuyển từ Solana sang Ethereum. Sau đó, hacker nạp 800 ETH vào Tornado Cash, một giao thức bảo mật chuyên làm mờ dấu vết giao dịch.

Tại thời điểm báo cáo, khoảng 1,25 triệu USD vẫn còn nằm trong ví Ethereum chứa DAI và ETH.

Đáng chú ý, đây chỉ là một phần trong chuỗi hoạt động tấn công của nhóm Lazarus nhằm vào các tài sản tiền điện tử có giá trị cao.

Vào ngày 27/6, ZachXBT tiếp tục truy vết nhóm này trong một vụ tấn công lớn vào nhiều dự án NFT liên quan đến Matt Furie – cha đẻ của biểu tượng Pepe. Các dự án như ChainSaw và Favrr cũng nằm trong danh sách nạn nhân.

1/ Multiple projects tied to Pepe creator Matt Furie & ChainSaw as well as another project Favrr were exploited in the past week which resulted in ~$1M stolen

My analysis links both attacks to the same cluster of DPRK IT workers who were likely accidentally hired as developers. pic.twitter.com/85JRm5kLQO

— ZachXBT (@zachxbt) June 27, 2025

Loạt tấn công bắt đầu từ ngày 18/6, cho phép hacker chiếm quyền kiểm soát nhiều hợp đồng thông minh của NFT, sau đó phát hành và bán tháo NFT giả mạo, chiếm đoạt ước tính 1 triệu USD.

Cuộc điều tra cho thấy những kẻ tấn công đã chuyển tài sản bị đánh cắp qua ba ví khác nhau, rồi hoán đổi một phần ETH sang stablecoin và rút về sàn tập trung MEXC.

Đặc biệt, các giao dịch stablecoin lặp lại về một địa chỉ nạp tiền cố định trên MEXC cho thấy nhóm hacker có thể đang thực hiện nhiều vụ lừa đảo song song.

ZachXBT còn phát hiện mối liên hệ giữa các tài khoản GitHub sử dụng ngôn ngữ tiếng Hàn, múi giờ châu Á hoặc Nga – trùng khớp với đặc điểm hoạt động của Triều Tiên.

Ông nhận định: “Các dấu hiệu nội bộ cho thấy bất thường trong hồ sơ của một lập trình viên nghi là nhân sự CNTT của CHDCND Triều Tiên. Tại sao một người khai sống ở Mỹ lại cài đặt ngôn ngữ tiếng Hàn, dùng VPN Astral và có múi giờ châu Á/Nga?”

Trong vụ việc với Favrr, nghi vấn đang tập trung vào CTO của dự án là Alex Hong, người được cho là nhân sự IT của Triều Tiên. Hồ sơ LinkedIn của Hong đã bị xóa gần đây, và lịch sử làm việc cũng không thể xác minh.

Các sự kiện này tiếp tục phơi bày vai trò ngày càng lớn của Triều Tiên trong hoạt động đánh cắp tiền điện tử. Theo công ty phân tích blockchain TRM Labs, các hacker của nước này đã liên quan tới gần 1,6 tỷ USD tài sản bị đánh cắp trong năm nay – chiếm khoảng 70% tổng giá trị tài sản số bị mất cắp toàn cầu.

• Lazarus Group trở thành cá voi Bitcoin tỷ đô sau khi chuyển đổi số tiền đánh cắp: Arkham
• Lazarus thành công rửa toàn bộ số ETH đánh cắp từ Bybit
• Lazarus Group sử dụng toàn bộ tiền điện tử đánh cắp để tài trợ chương trình hạt nhân của Triều Tiên
• BitMEX ngăn chặn thành công cuộc tấn công của hacker Triều Tiên Lazarus

Vương Tiễn