Tăng 51% số hacker Bắc Triều Tiên! Trộm cắp hàng năm 2 tỷ USD, mạng rửa tiền Trung Quốc bị phơi bày

Báo cáo mới nhất của Chainalysis cho thấy số lượng trộm cắp tiền điện tử trên toàn thế giới vào năm 2025 sẽ vào khoảng 3,4 tỷ USD, trong đó ít nhất 20,2 tỷ USD sẽ đến từ các cuộc tấn công liên quan đến Triều Tiên, tăng 51% so với năm 2024 (tăng khoảng 6,81 tỷ USD), mức cao kỷ lục. Tin tặc Triều Tiên chiếm 76% tổng số vụ hack và đã đánh cắp ít nhất 67,5 tỷ USD tài sản tiền điện tử cho đến nay.

Tin tặc Triều Tiên thống trị 76% vụ trộm cắp tiền điện tử toàn cầu

(Nguồn: Chainalysis)

Năm 2025 đã trở thành năm tồi tệ nhất kể từ khi Triều Tiên phát động chiến dịch trộm cắp tiền điện tử, với các cuộc tấn công liên quan chiếm 76% tổng số vụ hack, mức cao kỷ lục. Tỷ lệ này cực kỳ đáng kinh ngạc, có nghĩa là cứ 3 trong số 4 vụ trộm cắp tiền điện tử trên toàn thế giới có liên quan đến Triều Tiên. Sự thống trị này không phải là ngẫu nhiên, mà là kết quả của sự đầu tư dài hạn và tích lũy công nghệ của lực lượng mạng cấp nhà nước Triều Tiên.

20,2 tỷ USD thu lợi bất hợp pháp có ý nghĩa chiến lược đối với Triều Tiên. Theo ước tính quốc tế, GDP hàng năm của Triều Tiên vào khoảng 200-300 tỷ USD, có nghĩa là tin tặc đánh cắp tiền tương đương 6-10% GDP của nước này. Trộm cắp tiền điện tử đã trở thành một trong những nguồn ngoại hối chính của Triều Tiên sau khi các lệnh trừng phạt của Liên Hợp Quốc cắt đứt hầu hết các kênh thương mại thông thường của nước này, được sử dụng để hỗ trợ các chương trình vũ khí hạt nhân và tên lửa đạn đạo.

Tốc độ tăng trưởng hàng năm 51% cho thấy khả năng của tin tặc Triều Tiên đang tăng lên nhanh chóng. Sự cải tiến này không chỉ được phản ánh ở cấp độ kỹ thuật mà còn ở sự tinh vi của các chiến lược tấn công. Từ những ngày đầu của các cuộc tấn công lừa đảo tàn bạo đến kỹ thuật xã hội nhiều giai đoạn, xâm nhập chuỗi cung ứng và cấy ghép nội bộ ngày nay, tin tặc Triều Tiên đã phát triển một phương pháp tấn công hoàn thiện.

Dữ liệu tấn công của tin tặc Triều Tiên vào năm 2025

Tổng số tiền bị đánh cắp: 20,2 tỷ USD, chiếm 76% số vụ trộm cắp tiền điện tử toàn cầu, tăng 51% so với năm 2024

Trộm cắp lịch sử tích lũy: 67,5 tỷ USD, trung bình khoảng 8,4 tỷ USD mỗi năm từ năm 2017 đến nay

Vỏ lớn nhất: CEX lớn trao đổi 15 tỷ USD, chiếm 74% tổng số vụ trộm cắp của Triều Tiên vào năm 2025

Lazarus Group được cho là có mối quan hệ chặt chẽ với Tổng cục Trinh sát Bình Nhưỡng (RGB), tạo ra hơn 200 triệu đô la tiền bất hợp pháp thông qua ít nhất 25 vụ trộm tiền điện tử chỉ trong khoảng thời gian từ năm 2020 đến năm 2023. Nhóm này đã phát động các cuộc tấn công mạng chống lại các tổ chức tài chính và nền tảng tiền điện tử trong hơn một thập kỷ và bị nghi ngờ có liên quan đến việc đánh cắp khoảng 36 triệu đô la tài sản từ Upbit, sàn giao dịch tiền điện tử lớn nhất Hàn Quốc, vào tháng trước.

Sự kiện trị giá 1,5 tỷ đô la của các sàn giao dịch tập trung và chiến lược thâm nhập hai dòng

Theo báo cáo, vụ hack sàn giao dịch CEX vào tháng 2 năm nay là cuộc tấn công đơn lẻ lớn nhất ở Triều Tiên, gây thiệt hại khoảng 1,5 tỷ USD. Vụ việc được cho là của một nhóm đe dọa được gọi là TraderTraitor, còn được gọi là Jade Sleet hoặc Slow Pisces. Công ty bảo mật Hudson Rock sau đó chỉ ra rằng một máy tính bị nhiễm phần mềm độc hại Lumma Stealer được liên kết với cơ sở hạ tầng được sử dụng trong cuộc tấn công.

Các phương thức tấn công của vụ hack CEX vô cùng tinh vi. Tin tặc không trực tiếp tấn công hệ thống ví lạnh của sàn giao dịch mà xâm nhập vào nhân viên sàn giao dịch thông qua kỹ thuật xã hội để truy cập vào các hệ thống nội bộ. Khi vào bên trong mạng nội bộ, tin tặc di chuyển ngang đến các hệ thống quan trọng và cuối cùng có quyền truy cập vào quản lý khóa riêng tư. Chuỗi tấn công này bao gồm nhiều giai đoạn, mỗi giai đoạn đòi hỏi kỹ năng chuyên môn cao và sự kiên nhẫn.

Ngoài việc trực tiếp tấn công các sàn giao dịch, tin tặc Triều Tiên cũng đã tiến hành các cuộc tấn công kỹ thuật xã hội có tên “Chiến dịch Công việc mơ ước” trong một thời gian dài. Họ sử dụng các nền tảng như LinkedIn và WhatsApp để mạo danh nhà tuyển dụng và sử dụng các cơ hội việc làm được trả lương cao làm mồi nhử để tiếp cận các chuyên gia quốc phòng, công nghệ, hàng không và sản xuất để thu hút các mục tiêu tải xuống và thực thi phần mềm độc hại để đánh cắp dữ liệu nhạy cảm hoặc thiết lập các kênh xâm nhập dài hạn.

Một chiến lược khác là cái gọi là hoạt động “Wagemole”. Nhân viên Triều Tiên nộp đơn vào các vị trí công nghệ thông tin trong các công ty nước ngoài dưới danh tính giả, hoặc xâm nhập vào các công ty thông qua các công ty bình phong để truy cập vào hệ thống và dịch vụ mã hóa, do đó phát động các cuộc tấn công có tác động lớn. Chainalysis chỉ ra rằng phương pháp này có thể tăng tốc độ di chuyển ngang và tốc độ truy cập ban đầu của tin tặc trước khi trộm cắp quy mô lớn, đây có thể là một trong những lý do quan trọng khiến số tiền thiệt hại cao kỷ lục trong năm nay.

Bộ Tư pháp Hoa Kỳ đã thông báo rằng một người đàn ông 40 tuổi ở Maryland đã bị kết án vì hỗ trợ nhân viên Triều Tiên mạo danh danh tính của họ để tham gia vào công việc CNTT. Cuộc điều tra cho thấy bị cáo đã cho phép công dân Triều Tiên sống ở Thẩm Dương, Trung Quốc, sử dụng danh tính của mình để làm việc cho các công ty và cơ quan chính phủ khác nhau của Mỹ, kiếm được gần 1 triệu USD tiền bồi thường từ năm 2021 đến năm 2024. Trường hợp này tiết lộ phương thức hoạt động thực tế của Wagemole.

Chuyển tiền ba giai đoạn của mạng lưới rửa tiền Trung Quốc

Về xử lý quỹ, tài sản tiền điện tử bị đánh cắp thường được chuyển thông qua quy trình rửa tiền nhiều giai đoạn có cấu trúc. Báo cáo chỉ ra rằng tin tặc Triều Tiên sử dụng Dịch vụ rửa tiền chuyên nghiệp bằng tiếng Trung (dịch vụ rửa tiền chuyên nghiệp của Trung Quốc) và OTC (giao dịch phi tập trung), cho thấy mối quan hệ chặt chẽ với các mạng lưới tài chính ngầm trong khu vực nói tiếng Trung.

Giai đoạn đầu tiên sử dụng các giao thức tài chính phi tập trung và dịch vụ trộn tiền để nhanh chóng chuyển hướng tiền trong vòng vài ngày sau cuộc tấn công. Mục tiêu của giai đoạn này là nhanh chóng cắt đứt mối liên hệ trực tiếp của số tiền bị đánh cắp với địa chỉ ban đầu. Tin tặc chia một lượng lớn tiền thành hàng nghìn giao dịch nhỏ, thực hiện chuyển khoản nhiều bước thông qua các bộ trộn như Tornado Cash và nhiều giao thức DeFi, khiến độ khó theo dõi cao hơn theo cấp số nhân.

Giai đoạn thứ hai sẽ được tích hợp ban đầu thông qua các sàn giao dịch, cầu nối chuỗi chéo và dịch vụ trộn thứ cấp. Tiền được chuyển từ Ethereum sang các chuỗi khác như BSC, Tron, v.v., tận dụng sự phức tạp của cầu nối chuỗi chéo để làm xáo trộn hơn nữa các đường dẫn theo dõi. Một số tiền chảy vào các sàn giao dịch nhỏ hơn hỗ trợ KYC yếu hơn, được chuyển đổi thành các loại tiền điện tử hoặc stablecoin khác.

Cuối cùng, trong vòng khoảng 20 đến 45 ngày, tiền được đổi lấy tiền pháp định hoặc các tài sản khác. Giai đoạn này là quan trọng và nguy hiểm nhất, bởi vì để tiền điện tử trở thành tiền tệ fiat có thể sử dụng được, chúng phải tiếp xúc với hệ thống tài chính truyền thống. Tin tặc Triều Tiên chủ yếu dựa vào các thương gia OTC và các ngân hàng ngầm ở khu vực nói tiếng Trung, nơi cung cấp một lượng lớn các dịch vụ trao đổi tiền điện tử và cuối cùng chuyển tiền đến các tài khoản do Triều Tiên kiểm soát thông qua một mạng lưới ngân hàng phức tạp.

Mức độ liên kết cao của “hệ thống Trung Quốc” đã gây lo ngại cho các cơ quan tư pháp Mỹ. Điều này cho thấy rằng một số mạng lưới tài chính ngầm ở Trung Quốc đại lục, Hồng Kông, Đài Loan hoặc cộng đồng người Hoa ở Đông Nam Á đang cung cấp các dịch vụ rửa tiền quan trọng cho Triều Tiên. Sự phức tạp của mạng lưới tội phạm xuyên quốc gia này khiến các cơ quan thực thi pháp luật cực kỳ khó theo dõi và trấn áp chúng.

Các chuyên gia an ninh thông tin cảnh báo rằng các mối đe dọa liên quan đến Triều Tiên đang liên tục điều chỉnh chiến thuật của chúng từ xâm nhập trực tiếp vào hệ thống sang các phương pháp xâm nhập và lạm dụng nền tảng bí mật và không thể phát hiện được. Với sự phổ biến của tiền điện tử và làm việc từ xa, các rủi ro liên quan có thể sẽ tiếp tục gia tăng, trở thành một thách thức lớn đối với quy định và bảo mật thông tin doanh nghiệp ở các quốc gia khác nhau.