Nhóm hacker UNC4899 Triều Tiên xâm nhập thành công hệ thống cloud của các công ty tài sản mã hóa bằng phương thức mạo danh nhà tuyển dụng.
Các nhóm tin tặc do Triều Tiên hậu thuẫn đã nâng tầm nghệ thuật lừa đảo mạng lên một mức độ hoàn toàn mới thông qua việc mạo danh các nhà tuyển dụng IT tự do để xâm nhập hệ thống đám mây của ngành tài sản mã hóa. Theo báo cáo mới nhất từ Google Cloud và công ty an ninh mạng Wiz, những cuộc tấn công tinh vi này đã dẫn đến việc đánh cắp hàng tỷ USD tài sản mã hóa, khiến Triều Tiên trở thành quốc gia dẫn đầu thế giới về tấn công tài sản mã hóa.
Báo cáo Cloud Threat Horizons H2/2025 của Google Cloud tiết lộ rằng Google Threat Intelligence Group đang theo dõi tích cực nhóm hacker UNC4899, đơn vị đã thành công đột nhập vào hai công ty thông qua việc tiếp cận nhân viên qua mạng xã hội. Trong cả hai trường hợp, UNC4899 giao cho các nhân viên những nhiệm vụ công việc dẫn đến việc họ vô tình chạy phần mềm độc hại trên máy tính làm việc, từ đó thiết lập kết nối với hệ thống cloud của công ty mục tiêu.
Jamie Collier, Cố vấn Tình báo Mối đe dọa khu vực châu Âu của Google Threat Intelligence Group, cho biết việc lợi dụng hình thức tuyển dụng việc làm đã trở thành chiến thuật có mức độ tinh vi cao của các nhóm hacker Triều Tiên. Họ thường mạo danh là nhà tuyển dụng, nhà báo, chuyên gia học thuật hoặc giáo sư đại học khi liên hệ mục tiêu, và thường trao đổi qua lại nhiều lần để tạo dựng mối quan hệ tin tưởng với nạn nhân.
Khai thác công nghệ AI và tấn công hệ thống cloud
Điều đáng lo ngại hơn là các tác nhân đe dọa từ Triều Tiên đang là một trong những nhóm đầu tiên nhanh chóng tiếp cận và sử dụng trí tuệ nhân tạo để tạo ra các email tương tác thuyết phục hơn và lập trình các đoạn mã độc hại. Collier nhấn mạnh rằng việc Triều Tiên tích cực sử dụng AI giúp họ gia tăng sức mạnh theo cấp số nhân, từ đó có thể mở rộng quy mô các chiến dịch tấn công một cách đáng kể.
Công ty bảo mật Wiz báo cáo chi tiết về các hoạt động của UNC4899, còn được biết đến dưới các tên gọi TraderTraitor, Jade Sleet và Slow Pisces. TraderTraitor không phải là một nhóm cụ thể mà đại diện cho một kiểu hoạt động đe dọa, thường được thực hiện bởi các tổ chức do Triều Tiên hậu thuẫn như Lazarus Group, APT38, BlueNoroff và Stardust Chollima.
Theo phân tích của Wiz, chiến dịch bắt đầu từ năm 2020 với việc sử dụng mồi nhử tuyển dụng việc làm để dụ nhân viên tải xuống các ứng dụng tài sản mã hóa độc hại được lập trình bằng JavaScript và Node.js. Từ năm 2020 đến 2022, chiến dịch này đã xâm nhập thành công nhiều tổ chức, trong đó có vụ Lazarus Group tấn công Ronin Network của Axie Infinity với thiệt hại 620 triệu USD.
Benjamin Read, Giám đốc Tình báo Chiến lược của Wiz, giải thích rằng TraderTraitor tập trung vào khai thác các lỗ hổng liên quan đến cloud vì đó là nơi dữ liệu và tiền được lưu trữ. Điều này đặc biệt đúng với ngành tài sản mã hóa, nơi nhiều công ty mới thành lập thường xây dựng hạ tầng theo hướng ưu tiên cloud, tạo ra những điểm yếu mà tin tặc có thể khai thác.
Đáng chú ý nhất, nhóm này đứng sau vụ hack 305 triệu USD tại sàn DMM Bitcoin của Nhật Bản, cũng như vụ tấn công trị giá 1,5 tỷ USD vào sàn Bybit cuối năm 2024. Những nhóm này đang hoạt động như một ngành công nghiệp có tổ chức, với ước tính 1,6 tỷ USD tài sản mã hóa đã bị đánh cắp trong năm 2025 tính đến hiện tại.
Read cho biết các nhóm như TraderTraitor có thể có hàng nghìn người tham gia, chia thành nhiều nhóm hoạt động chồng lấn nhau. Theo báo cáo tháng 2/2025 của TRM Labs, Triều Tiên chiếm đến 35% tổng số tài sản mã hóa bị đánh cắp trong năm 2024, khẳng định vị thế dẫn đầu thế giới của họ trong lĩnh vực tấn công tài sản mã hóa.
Collier từ Google nhận định rằng các tác nhân đe dọa từ Triều Tiên là một lực lượng linh hoạt và năng động, liên tục điều chỉnh để phục vụ mục tiêu chiến lược và tài chính của chế độ. Ông cũng nhấn mạnh rằng chưa thấy bất kỳ dấu hiệu nào cho thấy họ sẽ dừng lại, và dự đoán quy mô tấn công sẽ còn tiếp tục mở rộng trong thời gian tới.
