Cảnh báo đỏ: Tin tặc Triều Tiên càn quét thị trường crypto với những vụ trộm lớn chưa từng có

Mức độ tinh vi của các cuộc tấn công mạng có nguồn gốc từ Triều Tiên đang gia tăng, với nhiều nhóm tội phạm hoạt động phối hợp, theo báo cáo từ Paradigm mang tên “Decrypting the North Korean Threat”.

Paradigm cảnh báo rằng những chiến dịch hack này ngày càng đa dạng, từ kỹ thuật phishing, chiêu trò xã hội, xâm nhập sàn giao dịch đến tấn công chuỗi cung ứng phần mềm. Một số chiến dịch có thể âm thầm diễn ra suốt 12 tháng mà không bị phát hiện.

Từ năm 2017 đến 2023, Triều Tiên được cho là đã đánh cắp khoảng 3 tỷ USD qua các hoạt động hack. Riêng trong năm 2024–2025, các vụ tấn công vào WazirX và Bybit giúp hacker chiếm thêm 1,7 tỷ USD tài sản số.

Báo cáo chỉ ra năm nhóm cụ thể liên quan: Lazarus Group, AppleJeus, Spinout, TraitorTrader và Dangerous Password. Đồng thời, một đội ngũ đặc vụ Triều Tiên đang cải trang thành kỹ sư công nghệ để xâm nhập các công ty tiền điện tử trên toàn cầu.

Lazarus Group: Đầu não của các cuộc tấn công blockchain toàn cầu

Lazarus Group từng gây chú ý toàn cầu khi là thủ phạm chính trong các vụ hack lớn như Sony và vụ ngân hàng Bangladesh (2016), cũng như vụ ransomware WannaCry vào năm 2017.

Chuyển hướng sang crypto, nhóm này tiếp tục để lại dấu ấn đen tối: hack Youbit, Bithumb (2017), Ronin Bridge (2022), và vụ trộm lịch sử trị giá 1,5 tỷ USD từ Bybit năm 2025 khiến cả cộng đồng crypto lo ngại.

Họ còn bị nghi dính líu tới các dự án memecoin “ảo” trên Solana. Lazarus thường chia nhỏ số tiền đánh cắp, rửa tiền qua nhiều địa chỉ ví và chuyển sang Bitcoin – đồng coin có tính thanh khoản cao.

Chainalysis lưu ý nhóm này thường "ủ mưu" tài sản rất lâu trước khi rút, tránh bị điều tra. FBI hiện đã xác định danh tính ba thành viên, trong đó hai người bị truy tố vào năm 2021 bởi Bộ Tư pháp Hoa Kỳ.