Tin tặc mạng Triều Tiên không còn chỉ là mối đe dọa từ xa

Vụ tấn công trị giá 285 triệu USD vào Drift, một DEX (Sàn giao dịch phi tập trung), trong tháng này là vụ hack tiền điện tử lớn nhất trong hơn một năm, kể từ khi sàn giao dịch Bybit mất 1,4 tỷ USD. Các hacker được Triều Tiên hậu thuẫn đã được xác định là nghi phạm chính trong cả hai cuộc tấn công.

Vào mùa thu năm ngoái, những kẻ tấn công đã giả dạng là một công ty giao dịch định lượng và tiếp cận trực tiếp nhóm giao thức của Drift tại một hội nghị tiền điện tử lớn, Drift cho biết trong một bài đăng trên X vào Chủ nhật.

"Hiện được biết rằng đây dường như là một phương pháp tiếp cận có mục tiêu, nơi các cá nhân từ nhóm này tiếp tục cố ý tìm kiếm và tương tác với các cộng tác viên cụ thể của Drift, trực tiếp, tại nhiều hội nghị lớn của ngành tại nhiều quốc gia trong sáu tháng tiếp theo," DEX cho biết.

Cho đến nay, các gián điệp mạng Triều Tiên đã nhắm mục tiêu vào các công ty tiền điện tử trực tuyến, thông qua các cuộc gọi ảo và làm việc từ xa. Một cách tiếp cận trực tiếp tại một hội nghị thường sẽ không gây nghi ngờ, nhưng vụ tấn công Drift nên đủ để những người tham dự xem xét lại các kết nối được thực hiện tại các sự kiện gần đây.

Triều Tiên mở rộng chiến lược tiền điện tử vượt xa các vụ hack

Công ty pháp y blockchain TRM Labs mô tả vụ việc là vụ hack DeFi lớn nhất năm 2026 (cho đến nay) và là vụ tấn công lớn thứ hai trong lịch sử Solana, chỉ đứng sau vụ hack cầu nối Wormhole trị giá 326 triệu USD vào năm 2022.

Liên hệ ban đầu có từ khoảng sáu tháng trước, nhưng chính vụ tấn công có nguồn gốc từ giữa tháng 3, theo TRM. Kẻ tấn công bắt đầu bằng cách chuyển tiền từ Tornado Cash và triển khai CarbonVote Token (CVT), đồng thời sử dụng kỹ thuật xã hội để thuyết phục những người ký multisig phê duyệt các giao dịch cấp quyền nâng cao.

Sau đó, họ tạo ra uy tín cho CVT bằng cách đúc một lượng cung lớn và thổi phồng hoạt động giao dịch để mô phỏng nhu cầu thực tế. Các oracle của Drift đã nhận tín hiệu và coi token này là một tài sản hợp pháp.

Khi các giao dịch được phê duyệt trước được thực hiện vào ngày 1 tháng 4, CVT đã được chấp nhận làm tài sản thế chấp, hạn mức rút tiền được tăng lên và tiền được rút bằng tài sản thực, bao gồm USDC.

Liên quan: Gián điệp Triều Tiên để lộ, tiết lộ mối liên hệ trong cuộc phỏng vấn việc làm giả

Theo TRM, tốc độ và sự hung hăng của việc rửa tiền sau đó đã vượt qua những gì đã thấy trong vụ hack Bybit.

Triều Tiên được cho là đang sử dụng các vụ trộm tiền điện tử quy mô lớn như các cuộc tấn công Drift và Bybit cùng với các chiến thuật dài hạn, bao gồm việc đặt các điệp viên vào các vai trò từ xa tại các công ty công nghệ và tiền điện tử để tạo ra thu nhập ổn định. Hội đồng Bảo an Liên Hợp Quốc đã nói rằng những khoản tiền như vậy được sử dụng để hỗ trợ chương trình vũ khí của đất nước.

Nhà nghiên cứu bảo mật Taylor Monahan cho biết việc xâm nhập các giao thức DeFi có từ "mùa hè DeFi", thêm rằng khoảng 40 giao thức đã có liên hệ với các điệp viên CHDCND Triều Tiên bị nghi ngờ.

Phương tiện truyền thông nhà nước Triều Tiên đưa tin hôm thứ Năm rằng đất nước đã thử nghiệm một vũ khí điện từ và một tên lửa đạn đạo tầm ngắn, được gọi là Hwasong-11, được trang bị đầu đạn đạn chùm.

Mạng lưới xâm nhập thúc đẩy dòng doanh thu tiền điện tử ổn định

Một cuộc điều tra riêng đã tiết lộ cách một mạng lưới các nhân viên IT liên kết với Triều Tiên tạo ra hàng triệu thông qua sự xâm nhập kéo dài.

Dữ liệu thu được từ một nguồn ẩn danh được chia sẻ bởi ZachXBT cho thấy mạng lưới giả dạng là các nhà phát triển và nhúng mình vào các công ty tiền điện tử và công nghệ, tạo ra khoảng 1 triệu USD mỗi tháng và hơn 3,5 triệu USD kể từ tháng 11.

Nhóm này đảm bảo công việc bằng cách sử dụng danh tính giả mạo, định tuyến thanh toán thông qua một hệ thống chung, sau đó chuyển đổi tiền sang tiền tệ pháp định và gửi chúng đến các tài khoản ngân hàng Trung Quốc thông qua các nền tảng như Payoneer.

Liên quan: Bạn có phải là freelancer không? Gián điệp Triều Tiên có thể đang sử dụng bạn

Hoạt động dựa trên cơ sở hạ tầng cơ bản, bao gồm một trang web chung với mật khẩu chung và bảng xếp hạng nội bộ theo dõi thu nhập. 

Các điệp viên đã nộp đơn xin việc một cách công khai bằng cách sử dụng VPN và tài liệu giả mạo, chỉ ra một chiến lược dài hạn nhúng các điệp viên để trích xuất dòng doanh thu ổn định.

Phòng thủ phát triển khi chiến thuật xâm nhập lan rộng

Cointelegraph đã gặp phải một âm mưu tương tự trong một cuộc điều tra năm 2025 do Heiner García dẫn đầu, người đã dành nhiều tháng liên lạc với một điệp viên bị nghi ngờ.

Sau đó, Cointelegraph đã tham gia cuộc phỏng vấn giả của García với một nghi phạm có tên là "Motoki", người tự nhận là người Nhật Bản. Nghi phạm đã tức giận rời cuộc gọi sau khi không thể tự giới thiệu bằng phương ngữ mẹ đẻ được cho là của mình.

Cuộc điều tra phát hiện các điệp viên đã vượt qua các hạn chế địa lý bằng cách sử dụng truy cập từ xa vào các thiết bị vật lý nằm ở các quốc gia như Hoa Kỳ. Thay vì VPN, họ vận hành những máy đó trực tiếp, làm cho hoạt động của họ có vẻ địa phương.

Đến nay, các headhunter công nghệ đã nhận ra rằng người ở đầu bên kia của một cuộc phỏng vấn việc làm ảo thực sự có thể là một gián điệp mạng Triều Tiên. Một chiến lược phòng thủ lan truyền là yêu cầu nghi phạm sỉ nhục Kim Jong Un. Cho đến nay, chiến thuật này đã có hiệu quả.

Tuy nhiên, khi Drift được tiếp cận trực tiếp và phát hiện của García cho thấy các điệp viên tìm thấy các phương pháp sáng tạo để vượt qua các hạn chế địa lý, các tác nhân Triều Tiên đã tiếp tục thích nghi với động lực mèo vờn chuột.

Yêu cầu người được phỏng vấn gọi nhà lãnh đạo tối cao của Triều Tiên là "con lợn béo" là một chiến lược hiệu quả trong thời điểm hiện tại, nhưng các nhà nghiên cứu bảo mật cảnh báo rằng điều này sẽ không hoạt động mãi mãi.

Magazine: Séc Bitcoin ảo, Trung Quốc theo dõi thuế trên blockchain: Asia Express