Bên trong vụ trộm tiền điện tử 900K USD: Cách các đặc vụ Bắc Triều Tiên xâm nhập vào các công ty Blockchain mà không bị phát hiện

Điểm chính:

• Bốn điệp viên Triều Tiên đã giả làm nhân viên IT từ xa để truy cập và đánh cắp hơn 900.000 đô la tiền điện tử.
• Họ đã thâm nhập vào các công ty blockchain ở Hoa Kỳ và Serbia bằng cách sử dụng danh tính bị đánh cắp và tài liệu giả mạo.
• Các quỹ đã được rửa tiền thông qua các máy trộn và tài khoản giả, với các nhà điều tra liên kết hoạt động này với nỗ lực của DPRK nhằm tài trợ cho các chương trình vũ khí của mình.

Bốn công dân Bắc Triều Tiên đã bị các công tố viên liên bang cáo buộc tham gia vào một vụ trộm tiền tệ đã đánh cắp gần 1 triệu đô la tiền điện tử từ hai công ty tiền điện tử trong một loạt các cuộc tấn công trực tuyến phức tạp và liên tục. Các công tố viên cho biết các bị cáo đã tận dụng sự phát triển của làm việc từ xa và phát triển tiền điện tử để tránh các lệnh trừng phạt và chuyển tiền kỹ thuật số cho chính phủ Bắc Triều Tiên.

Làm việc từ xa như một cửa sau vào các công ty Blockchain

Bản cáo trạng, được nộp tại Quận Bắc Georgia vào ngày 30 tháng 6 năm 2025, mô tả một vụ lừa đảo kéo dài từ ít nhất năm 2019 đến đâu đó năm 2022, với nhiều vụ trộm tiền điện tử trong khoảng thời gian đó. Các bị cáo—Kim Kwang Jin, Kang Tae Bok, Jong Pong Ju và Chang Nam Il—đã sử dụng danh tính giả và bị đánh cắp để giành được việc làm như các nhà phát triển tại các công ty blockchain có trụ sở tại Hoa Kỳ và Serbia.

Các hồ sơ tòa án cho thấy Kim và Jong đã được thuê làm nhà phát triển bởi một công ty R&D blockchain có trụ sở tại Georgia và một công ty token ảo có trụ sở tại Serbia, tương ứng. Họ đã nộp đơn dưới các hồ sơ giả mạo bao gồm tài liệu gian lận, trộn lẫn các chi tiết danh tính thật và bị đánh cắp. Không công ty nào biết về quốc tịch thực sự của các ứng viên là người Bắc Triều Tiên vào thời điểm tuyển dụng.

Theo báo cáo, hoạt động này bắt đầu với nhóm làm việc cùng nhau ở Các Tiểu vương quốc Ả Rập Thống nhất vào năm 2019, nơi họ lần đầu tiên phối hợp kỹ năng của mình và lên kế hoạch cách nhắm mục tiêu các nền tảng tiền điện tử ở nước ngoài.

Trộm cắp và rửa tiền tài sản kỹ thuật số có phối hợp

Khai thác hợp đồng thông minh và quyền truy cập nội bộ

Khi đã vào trong những công việc đó, các đại lý đã có quyền truy cập vào các hệ thống nội bộ nhạy cảm và ví tiền điện tử của công ty. Jong Pong Ju, còn được gọi là “Bryan Cho,” đã rút khoảng 175.000 đô la trong tiền kỹ thuật số từ tài khoản ngân hàng của ông chủ vào tháng 2 năm 2022. Một tháng sau, Kim Kwang Jin đã lợi dụng những lỗi trong mã hợp đồng thông minh của công ty, lấy đi gần 740.000 đô la tài sản tiền điện tử.

Các công tố viên cho biết cả hai vụ trộm đều được lên kế hoạch trước và sử dụng các sửa đổi mã và quyền truy cập nội bộ để che giấu các giao dịch trái phép. Số tiền bị đánh cắp đã được rửa tiền thông qua một dịch vụ trộn tiền điện tử để che giấu nguồn gốc của nó, sau đó nó được chuyển đến các tài khoản sàn giao dịch được mở bằng các tài liệu danh tính giả mạo của Malaysia.

Các tài khoản sàn giao dịch này được quản lý bởi Kang Tae Bok và Chang Nam Il, những đồng phạm khác cũng đã rửa tiền từ số tiền bị đánh cắp. Tất cả bốn người này đã bị cáo buộc trong một bản cáo trạng năm điểm, bao gồm tội lừa đảo qua điện thoại và tội rửa tiền.

Cơ Quan Hoa Kỳ Cảnh Báo Về Các Chiến Thuật Mở Rộng Của Triều Tiên Trong Lĩnh Vực Mạng

Luật sư Hoa Kỳ Theodore S. Hertzberg nhấn mạnh rằng vụ án phản ánh một mối đe dọa ngày càng gia tăng và có tính toán từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), quốc gia này sử dụng các nhân viên CNTT toàn cầu để lách các biện pháp trừng phạt và huy động quỹ cho các chương trình do nhà nước điều hành—bao gồm cả phát triển vũ khí hạt nhân.

“Những cá nhân này đã che giấu danh tính thật sự của mình, khai thác lòng tin của nhà tuyển dụng, và đã đánh cắp gần một triệu đô la—tất cả để hỗ trợ một chế độ độc tài,” Hertzberg nói. “Chúng tôi sẽ tiếp tục theo đuổi bất kỳ đối tượng nào, trong nước hoặc nước ngoài, nhắm vào các doanh nghiệp của Hoa Kỳ.”

Sở FBI Atlanta, đơn vị dẫn đầu cuộc điều tra, đã phản ánh những mối quan ngại này. Đặc vụ phụ trách Paul Brown cho biết việc CHDCND Triều Tiên sử dụng danh tính giả để xâm nhập vào các công ty blockchain nổi bật mối giao thoa rõ rệt giữa an ninh mạng, an ninh quốc gia và tội phạm tài chính.

Một Mô Hình Tránh Trách Nhiệm Kinh Tế Bằng Crypto

Trường hợp này không phải là điều riêng biệt. Nó là một phần của một mô hình rộng hơn về việc các nhân viên của Triều Tiên sử dụng cơ sở hạ tầng tiền điện tử để khai thác các biện pháp kiểm soát quốc tế. Về mặt mặt trận chéo của những kẻ hỗ trợ DOJ trong nước, DOJ đang tham gia vào nỗ lực quan hệ công chúng được gọi là DPRK RevGen: Sáng kiến Hỗ trợ Trong nước, một cuộc tấn công được khởi động vào tháng 3 năm 2024 bởi Bộ An ninh Quốc gia của DOJ, sáng kiến nhằm chấm dứt những con đường rửa tiền dựa trên tiền tệ ảo trực tuyến này cả ở nước ngoài và ở Mỹ.

Các nhà chức trách cho biết âm mưu này là một phần trong nỗ lực rộng lớn hơn nhằm hình thành "các mạng lưới tạo ra doanh thu" cuối cùng đóng góp vào ngân sách chiến lược của Triều Tiên. Điều này bao gồm các cuộc tấn công mạng nổi bật, các cuộc tấn công ransomware, và bây giờ—thâm nhập trực tiếp vào các đội ngũ công ty thông qua việc làm từ xa.

Andrew Fierman, trưởng bộ phận an ninh quốc gia tại công ty điều tra blockchain Chainalysis, đã bình luận rằng các diễn viên của DPRK đang ngày càng nhúng mình vào các công ty mục tiêu:

"Họ thu thập kiến thức nội bộ, thao túng hệ thống từ bên trong, và thậm chí tổ chức các vi phạm nội bộ."

Mô hình nội bộ này làm cho việc phát hiện trở nên khó khăn hơn, đặc biệt khi kết hợp với các kỹ thuật rửa tiền tiên tiến như trộn token và việc sử dụng các giao thức tài chính phi tập trung (DeFi) để lớp giao dịch.

Đọc thêm: Người sáng lập Manta Network tránh được cuộc tấn công của nhóm Lazarus qua Zoom bằng cách sử dụng chiến thuật deepfake và phần mềm độc hại

Ngành Công Nghiệp Crypto Đối Mặt Với Cuộc Kiểm Tra Mới

Sự cố đặt ra một số câu hỏi khó cho ngành công nghiệp crypto, đặc biệt về xác minh danh tính, tuyển dụng từ xa và kiểm soát truy cập. Mặc dù các công ty dựa trên blockchain coi trọng sự phi tập trung và tuyển dụng nhân tài trên toàn cầu, nhược điểm là sự tiếp xúc gia tăng với các hành vi lừa đảo tinh vi.

Các quỹ bị đánh cắp—trị giá khoảng $915,000 vào thời điểm đó—vẫn đang được theo dõi qua các sàn giao dịch, theo các nguồn tin quen thuộc với cuộc điều tra. DOJ và FBI đang hợp tác với các cơ quan thực thi pháp luật quốc tế và các công ty phân tích blockchain tư nhân để thu hồi tài sản.

Đọc thêm: ZachXBT xác định Nhóm Lazarus là những kẻ hack Bybit 1,4 tỷ đô la, giành giải thưởng Arkham