Kỹ sư IT Triều Tiên gia tăng thâm nhập dự án crypto tại Anh, châu Âu do áp lực từ Mỹ, sử dụng danh tính giả để tạo nguồn thu, Google cảnh báo.
Một báo cáo mới từ nhóm Tình báo Đe dọa của Google (GTIG) cho thấy hoạt động thâm nhập của các kỹ sư công nghệ có liên hệ với Triều Tiên vào các công ty công nghệ ngoài lãnh thổ Mỹ, đặc biệt trong lĩnh vực blockchain và tiền mã hóa, đang gia tăng đáng kể. Mục tiêu hiện không còn giới hạn tại Mỹ mà đã mở rộng sang các quốc gia châu Âu, trong đó có Vương quốc Anh, trong bối cảnh Bình Nhưỡng chịu áp lực lớn từ các biện pháp trừng phạt tài chính của Washington và nỗ lực duy trì dòng tiền phục vụ chính quyền.
Theo báo cáo công bố ngày 2/4, mặc dù Mỹ vẫn là thị trường được các kỹ sư Triều Tiên nhắm tới, các biện pháp kiểm soát nhân sự và xác minh quyền lao động ngày càng chặt chẽ đã buộc họ phải chuyển hướng sang những khu vực có tiêu chuẩn tuyển dụng lỏng lẻo hơn. Giới chức an ninh mạng cảnh báo rằng các kỹ sư này thường xuyên sử dụng danh tính giả để xin việc từ xa, nhằm che giấu nguồn gốc và phục vụ các hoạt động tài chính cho chế độ Bình Nhưỡng.
Ông Jamie Collier, cố vấn cấp cao tại GTIG, nhận định: “Khi nhận thức về mối đe dọa gia tăng tại Hoa Kỳ, họ đã thiết lập một mạng lưới toàn cầu với danh tính giả mạo nhằm tăng tính linh hoạt và giảm thiểu rủi ro bị phát hiện.” Việc phát hiện các đối tượng trung gian hoạt động tại Vương quốc Anh, theo ông Collier, là bằng chứng cho thấy “một hạ tầng hỗ trợ xuyên quốc gia đang được hình thành với tốc độ đáng lo ngại”.
Hoạt động xâm nhập này không chỉ giới hạn trong các dự án phát triển web truyền thống, mà đã mở rộng sang các lĩnh vực công nghệ cao như blockchain và hợp đồng thông minh (smart contract). Báo cáo của Google cho biết một số kỹ sư Triều Tiên đã tham gia phát triển hợp đồng thông minh trên các nền tảng như Solana và Anchor. Họ cũng bị nghi ngờ đứng sau một dự án xây dựng nền tảng tuyển dụng ứng dụng công nghệ blockchain và một nền tảng tích hợp trí tuệ nhân tạo (AI) với blockchain.
Collier cho biết: “Mục tiêu cốt lõi là giả dạng nhân sự làm việc từ xa một cách hợp pháp, từ đó xâm nhập vào nội bộ doanh nghiệp, tiếp cận dữ liệu nhạy cảm và tạo nguồn thu cho chính quyền Triều Tiên.” Điều này, theo ông, tạo ra rủi ro nghiêm trọng cho các tổ chức tuyển dụng, bao gồm nguy cơ bị gián điệp mạng, đánh cắp mã nguồn, dữ liệu độc quyền và phá hoại hệ thống vận hành.
Không chỉ giới hạn tại Anh, mạng lưới này còn mở rộng mạnh sang thị trường châu Âu. GTIG ghi nhận một trường hợp sử dụng ít nhất 12 danh tính giả, trong đó có hồ sơ học vấn từ Đại học Belgrade (Serbia), địa chỉ cư trú tại Slovakia và các nỗ lực tìm kiếm việc làm tại Đức và Bồ Đào Nha. Ngoài ra, còn tồn tại các bên trung gian chuyên cung cấp hộ chiếu giả và hướng dẫn chi tiết cách thao túng quy trình tuyển dụng tại châu Âu.
Đáng lưu ý, từ cuối tháng 10/2024, GTIG đã quan sát thấy xu hướng các kỹ sư Triều Tiên quay sang tống tiền doanh nghiệp sau khi bị sa thải, đe dọa tiết lộ hoặc bán dữ liệu nhạy cảm cho đối thủ cạnh tranh. Hành vi này cho thấy áp lực ngày càng lớn trong việc tạo ra nguồn thu tài chính cho nhà nước.
Tình trạng này diễn ra trong bối cảnh chính phủ Mỹ đang đẩy mạnh các biện pháp ngăn chặn. Hồi tháng 1, Bộ Tư pháp Hoa Kỳ đã truy tố hai công dân Triều Tiên liên quan đến một kế hoạch tuyển dụng kỹ sư IT giả mạo tinh vi. Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ cũng đã áp đặt lệnh trừng phạt lên nhiều thực thể bị cáo buộc là vỏ bọc cho các hoạt động tài chính của Bình Nhưỡng.
Cộng đồng công nghệ blockchain hiện đang nâng cao cảnh giác. Nhiều nhà sáng lập dự án đã báo cáo bị nhắm tới bởi các cuộc tấn công lừa đảo tinh vi, bao gồm các cuộc gọi Zoom giả mạo nhằm đánh cắp thông tin truy cập. Trước đó, vào tháng 8/2024, nhà phân tích blockchain độc lập ZachXBT từng ước tính rằng một mạng lưới kỹ sư Triều Tiên có thể thu về tới 500.000 USD mỗi tháng từ các hợp đồng làm việc trong lĩnh vực tiền mã hóa.
