Điều tra viên ZachXBT công bố dữ liệu từ thiết bị tin tặc Triều Tiên, hé lộ 31 danh tính giả và liên hệ vụ hack Favrr 680.000 USD.
Một cái nhìn hiếm hoi về hoạt động bên trong của các tin tặc Triều Tiên đã được tiết lộ sau khi một nguồn ẩn danh thành công xâm nhập thiết bị của một nhân viên IT thuộc Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK). Thông tin được điều tra viên on-chain ZachXBT công bố ngày 14 tháng 8 cho thấy một nhóm sáu nhân viên IT Triều Tiên đã sử dụng 31 danh tính giả để thâm nhập vào các dự án tài sản mã hóa, bao gồm cả vụ tấn công 680.000 USD vào sàn giao dịch fan-token Favrr hồi tháng 6.
Dữ liệu rò rỉ cho thấy nhóm này đã thu thập một loạt tài liệu giả mạo từ giấy tờ tùy thân, số điện thoại đến việc mua các tài khoản LinkedIn và Upwork nhằm che giấu thân phận thực và xin việc trong các dự án blockchain. Một trong số họ thậm chí đã phỏng vấn cho vị trí kỹ sư full-stack tại Polygon Labs, trong khi bằng chứng khác tiết lộ các kịch bản trả lời phỏng vấn soạn sẵn với việc tự nhận từng làm việc tại OpenSea và Chainlink.
Phương thức hoạt động tinh vi của Triều Tiên với công nghệ phổ biến
Các nhân viên IT Triều Tiên đã nhận được các vị trí “lập trình viên blockchain” và “kỹ sư hợp đồng thông minh” trên các nền tảng freelance như Upwork, sau đó sử dụng phần mềm truy cập từ xa như AnyDesk để thực hiện công việc cho nhà tuyển dụng mà không bị nghi ngờ. Họ cũng sử dụng VPN để ẩn vị trí thực và dựa vào các dịch vụ của Google để quản lý hoạt động.
Dữ liệu từ Google Drive và hồ sơ Chrome cho thấy nhóm này sử dụng các công cụ của Google để quản lý lịch trình, nhiệm vụ và ngân sách, giao tiếp chủ yếu bằng tiếng Anh trong khi dựa vào công cụ dịch Hàn-Anh của Google. Một bảng tính tiết lộ họ đã chi tổng cộng 1.489,8 USD trong tháng 5 để duy trì hoạt động, cho thấy quy mô tương đối khiêm tốn nhưng có tổ chức của chiến dịch này.
Nhóm thường sử dụng Payoneer để chuyển đổi tiền pháp định sang tài sản mã hóa cho công việc freelance. Một địa chỉ ví cụ thể “0x78e1a” được ZachXBT xác định có “liên quan chặt chẽ” đến vụ tấn công 680.000 USD trên sàn Favrr hồi tháng 6 năm 2025. Khi đó, ZachXBT đã cáo buộc giám đốc công nghệ của dự án được biết đến với tên “Alex Hong” cùng một số lập trình viên khác thực chất là các nhân viên DPRK cải trang.
Bằng chứng cũng hé lộ các mối quan tâm tìm kiếm của họ, bao gồm câu hỏi về khả năng triển khai token ERC-20 trên Solana và thông tin về các công ty phát triển trí tuệ nhân tạo hàng đầu châu Âu, cho thấy họ đang mở rộng phạm vi hoạt động ra ngoài blockchain truyền thống.
ZachXBT kêu gọi các công ty công nghệ và tài sản mã hóa cần thẩm tra kỹ lưỡng hơn các ứng viên tiềm năng, lưu ý rằng mặc dù nhiều hoạt động không quá tinh vi, nhưng số lượng hồ sơ giả lớn khiến các đội tuyển dụng dễ bị qua mặt. Ông cũng chỉ ra sự thiếu hợp tác giữa các công ty công nghệ và nền tảng freelance càng làm vấn đề trở nên nghiêm trọng hơn.
Tháng trước, Bộ Ngân khố Mỹ đã can thiệp trực tiếp bằng cách áp đặt lệnh trừng phạt đối với hai cá nhân và bốn tổ chức liên quan đến mạng lưới nhân viên IT do Triều Tiên điều hành nhằm xâm nhập vào các công ty tài sản mã hóa, cho thấy mức độ nghiêm trọng của vấn đề này đối với an ninh quốc gia và ngành công nghiệp blockchain.
