Báo cáo mới về hoạt động của hacker Triều Tiên: Đánh cắp 2,83 tỷ USD tài sản crypto trong 21 tháng

Trong bối cảnh thị trường tiền mã hóa ngày càng phát triển và mở rộng, mối đe dọa từ các hoạt động tội phạm mạng, đặc biệt là các nhóm hacker đến từ Triều Tiên, đang trở thành vấn đề đáng báo động. Một báo cáo vừa được công bố từ Nhóm Giám sát Trừng phạt Đa phương (Multinational Sanctions Monitoring Team – MSMT) đã làm rõ quy mô và phương thức hoạt động của các nhóm hacker này, đồng thời nhấn mạnh sự phụ thuộc ngày càng lớn của Bình Nhưỡng vào hoạt động phi pháp để vượt qua các lệnh trừng phạt quốc tế.

Tổng quan về hoạt động của hacker Triều Tiên và quy mô đánh cắp crypto

Số tiền bị đánh cắp và tác động đối với nền kinh tế Triều Tiên

Theo báo cáo của MSMT, các nhóm hacker Triều Tiên đã thực hiện các vụ tấn công mạng và đánh cắp tổng cộng 2,83 tỷ USD tài sản crypto trong giai đoạn từ tháng 1/2024 đến tháng 9/2025. Con số này chiếm gần một phần ba tổng thu nhập ngoại tệ của Triều Tiên trong năm 2024, phản ánh rõ rệt mức độ phụ thuộc ngày càng tăng của Bình Nhưỡng vào hoạt động tội phạm mạng để duy trì ngân sách quốc gia, đặc biệt trong bối cảnh các lệnh trừng phạt quốc tế ngày càng siết chặt.

Các vụ tấn công nổi bật và quy mô tăng trưởng

Trong năm 2025, quy mô các vụ tấn công mạng của các nhóm hacker Triều Tiên đã chứng kiến sự gia tăng đáng kể. Chỉ trong 9 tháng đầu năm, số tiền bị đánh cắp đã lên tới 1,64 tỷ USD, tăng 50% so với cùng kỳ năm trước, khi con số này là 1,19 tỷ USD. Điều này cho thấy xu hướng mở rộng quy mô và mức độ tinh vi của các hoạt động tội phạm mạng của Bình Nhưỡng.

Các vụ tấn công tiêu biểu và phương thức thực hiện

Vụ tấn công sàn Bybit tháng 2/2025

Vụ tấn công lớn nhất trong giai đoạn này là vụ tấn công sàn giao dịch Bybit diễn ra vào tháng 2/2025. Nhóm hacker đứng đằng sau, được cho là nhóm TraderTraitor (còn gọi là Jade Sleet hoặc UNC4899), đã sử dụng các chiến thuật tấn công tinh vi để xâm nhập hệ thống.

Hacker nhắm vào SafeWallet, một nhà cung cấp ví đa chữ ký của Bybit, bằng cách gửi email lừa đảo chứa mã độc nhằm xâm nhập hệ thống nội bộ. Sau đó, các hacker ngụy trang các giao dịch chuyển tiền ra ngoài thành các giao dịch nội bộ, chiếm quyền kiểm soát hợp đồng thông minh của ví lạnh và thực hiện rút tiền một cách bất hợp pháp mà không bị phát hiện. Đây là một trong những vụ tấn công mạng phức tạp, đòi hỏi kiến thức sâu về chuỗi cung ứng phần mềm và kỹ năng lập trình cao.

Các nhóm hacker và mô hình hoạt động

Thông qua các phân tích của MSMT, rõ ràng các nhóm hacker của Triều Tiên thường không tấn công trực tiếp các sàn giao dịch lớn, mà thay vào đó tập trung vào các đơn vị cung cấp dịch vụ bên thứ ba như ví điện tử, nền tảng trung gian, hoặc các nhà cung cấp dịch vụ liên quan đến blockchain. Các nhóm như TraderTraitor, CryptoCore, Citrine Sleet đã sử dụng hồ sơ lập trình viên giả mạo, danh tính bị đánh cắp và kiến thức về chuỗi cung ứng phần mềm để thực hiện các cuộc tấn công.

Quy trình rửa tiền tinh vi của hacker Triều Tiên

Các bước chuyển đổi crypto bị đánh cắp thành tiền mặt

Phân tích của MSMT mô tả chi tiết quy trình rửa tiền chặt chẽ, gồm chín bước, nhằm biến các tài sản crypto đánh cắp thành tiền mặt hợp pháp:

1. Hoán đổi tài sản bị trộm sang Ethereum (ETH) trên các sàn phi tập trung (DEX).
2. Sử dụng các dịch vụ trộn như Tornado Cash, Wasabi Wallet để xoá dấu vết giao dịch.
3. Chuyển ETH sang Bitcoin (BTC) qua các cầu nối blockchain, tiếp tục trộn lần nữa để làm mờ dấu vết.
4. Lưu trữ trong ví lạnh để tránh bị truy vết.
5. Chuyển đổi sang Tron (TRX) và đổi sang USDT.
6. Gửi USDT tới các môi giới OTC để chuyển đổi thành tiền mặt.

Vai trò của các trung gian quốc tế

Báo cáo của MSMT xác định rõ các cá nhân và doanh nghiệp tại Trung Quốc, Nga, và Campuchia đóng vai trò trung gian quan trọng trong chuỗi này:

• Tại Trung Quốc, các công dân như Ye Dinrong, Tan Yongzhi thuộc Shenzhen Chain Element Network Technology cùng nhà giao dịch Wang Yicong hỗ trợ di chuyển tiền và tạo danh tính giả.
• Tại Nga, các trung gian đã rửa khoảng 60 triệu USD từ vụ tấn công Bybit qua mạng lưới OTC.
• Tại Campuchia, nền tảng Huione Pay, do em họ Thủ tướng Hun Manet làm chủ tịch, đã tiếp tay chuyển tiền dù giấy phép đã hết hạn, cho thấy sự tiếp tay của các tổ chức có liên hệ chính trị và tài chính.

Hợp tác quốc tế và mối liên hệ với các nhóm tội phạm Nga

MSMT còn nhấn mạnh rằng các hacker Triều Tiên đã hợp tác với các nhóm tội phạm mạng tiếng Nga từ năm 2010, bao gồm thuê các công cụ ransomware từ nhóm Qilin, một nhóm tội phạm Nga nổi tiếng. Sự hợp tác này làm tăng khả năng tinh vi và khả năng mở rộng hoạt động tội phạm xuyên quốc gia.

Các khuyến nghị và biện pháp ứng phó

Tăng cường nhận thức và hợp tác quốc tế

Trước diễn biến phức tạp và ngày càng tinh vi của các hoạt động tội phạm mạng của Triều Tiên, MSMT kêu gọi các quốc gia thành viên Liên Hợp Quốc tăng cường nhận thức, chia sẻ thông tin, và phối hợp phản ứng. Đồng thời, khẩn thiết đề nghị khôi phục hoạt động của Ủy ban Chuyên gia Giám sát Trừng phạt của Liên Hợp Quốc, nhằm mở rộng quyền hạn và khả năng điều tra các hoạt động tội phạm mạng của Bình Nhưỡng.

Các biện pháp phòng ngừa cho ngành công nghiệp crypto

• Áp dụng các biện pháp xác thực danh tính và kiểm tra giao dịch chặt chẽ hơn.
• Sử dụng các dịch vụ phân tích blockchain để phát hiện các hoạt động bất thường.
• Thường xuyên nâng cao nhận thức về các chiến thuật tấn công phishing, lừa đảo qua email, và các phương thức rửa tiền phức tạp.

Kết luận

Báo cáo của MSMT một lần nữa xác nhận rằng các nhóm hacker Triều Tiên đã và đang duy trì hoạt động tội phạm mạng quy mô lớn, tinh vi, nhằm lấy cắp tài sản crypto và chuyển đổi thành tiền mặt để phục vụ các mục tiêu chính trị và kinh tế của Bình Nhưỡng. Sự phối hợp quốc tế trong việc nâng cao nhận thức, tăng cường các biện pháp phòng ngừa, và duy trì các chế tài là yếu tố then chốt để hạn chế và đối phó hiệu quả với các mối đe dọa này trong tương lai.

Chúng tôi sẽ tiếp tục cập nhật các thông tin mới nhất về hoạt động của các nhóm hacker quốc tế và các biện pháp ứng phó phù hợp để đảm bảo an toàn cho cộng đồng đầu tư và ngành công nghiệp blockchain.

Xem các tin tức mới nhất về bitcoin và thị trường điện tử tại : Tin tức Crypto