Bắc Triều Tiên và Hoạt Động Hacker
Bắc Triều Tiên đã dựa vào các nhóm hacker được nhà nước bảo trợ, như Lazarus, để tài trợ cho quân đội của mình. Tiền điện tử bị đánh cắp chiếm gần một phần ba thu nhập ngoại tệ của nước này, cung cấp một dòng tiền bất hợp pháp ổn định, miễn nhiễm với các lệnh trừng phạt truyền thống.
Thống Kê Trộm Cắp Tiền Điện Tử
Trong một báo cáo ngày 22 tháng 10, Nhóm Giám sát Trừng phạt Đa phương cho biết rằng trong khoảng thời gian từ tháng 1 năm 2024 đến tháng 9 năm 2025, các tác nhân Bắc Triều Tiên đã tổ chức các vụ trộm tiền điện tử tổng cộng ít nhất 2.8 tỷ USD thông qua các nhóm hacker được nhà nước bảo trợ và các tác nhân mạng nhắm vào lĩnh vực tài sản kỹ thuật số. Phần lớn số tiền thu được đến từ các sự cố lớn, bao gồm vụ khai thác Bybit vào tháng 2 năm 2025, mà riêng nó đã chiếm khoảng một nửa tổng số.
Phương Pháp Tấn Công
Báo cáo quy các vụ khai thác này cho các tác nhân đe dọa Bắc Triều Tiên quen thuộc, sử dụng các phương pháp tinh vi như chuỗi cung ứng, kỹ thuật xã hội và xâm nhập ví. Các hoạt động tiền điện tử của Bắc Triều Tiên xoay quanh một hệ sinh thái chặt chẽ của các nhóm hacker liên kết với nhà nước, trong đó nổi bật là Lazarus, Kimsuky, TraderTraitor và Andariel.
Dấu vết của họ xuất hiện trong gần như mọi vụ vi phạm tài sản kỹ thuật số lớn trong hai năm qua.
Theo các nhà phân tích an ninh mạng, các nhóm này hoạt động dưới sự quản lý của Cục Tình báo Tổng hợp, cơ quan tình báo chính của Bình Nhưỡng, phối hợp các cuộc tấn công mô phỏng hiệu quả của khu vực tư nhân. Đổi mới chính của họ là hoàn toàn bỏ qua các sàn giao dịch, thay vào đó nhắm vào các nhà cung cấp lưu ký tài sản kỹ thuật số bên thứ ba mà các sàn giao dịch sử dụng để lưu trữ an toàn.
Chiến Dịch Rửa Tiền
Bằng cách xâm nhập vào cơ sở hạ tầng của các công ty như Safe(Wallet), Ginco và Liminal Custody, các tác nhân Bắc Triều Tiên đã có được chìa khóa chính để lấy cắp tiền từ các khách hàng bao gồm Bybit, DMM Bitcoin của Nhật Bản và WazirX của Ấn Độ. Cuộc tấn công vào DMM Bitcoin, dẫn đến thiệt hại 308 triệu USD và sự đóng cửa cuối cùng của sàn giao dịch, đã được khởi xướng nhiều tháng trước đó khi một tác nhân TraderTraitor giả làm một nhà tuyển dụng trên LinkedIn, đã lừa một nhân viên của Ginco mở một tệp độc hại được ngụy trang như một bài kiểm tra trước phỏng vấn.
Các nhóm được nhà nước bảo trợ khác cũng hoạt động phối hợp với nỗ lực chính này. Tập thể CryptoCore, mặc dù kém tinh vi hơn, thực hiện các kỹ thuật kỹ thuật xã hội quy mô lớn, giả làm nhà tuyển dụng và giám đốc doanh nghiệp để xâm nhập vào các mục tiêu. Trong khi đó, Citrine Sleet đã phát triển danh tiếng trong việc triển khai phần mềm giao dịch tiền điện tử bị trojan hóa.
Hệ Thống Rửa Tiền
Khi bị đánh cắp, các tài sản kỹ thuật số bước vào một quy trình rửa tiền phức tạp gồm chín bước, được thiết kế để che giấu nguồn gốc của chúng và chuyển đổi chúng thành tiền tệ fiat có thể sử dụng. Các tác nhân mạng của Bắc Triều Tiên một cách có hệ thống hoán đổi các token bị đánh cắp thành các tiền điện tử đã được thiết lập như Ethereum hoặc Bitcoin, sau đó sử dụng một loạt dịch vụ trộn lẫn bao gồm Tornado Cash và Wasabi Wallet.
Họ sau đó tận dụng các cầu nối và tổng hợp chuỗi chéo như THORChain và LI.FI để nhảy giữa các blockchain, thường chuyển đổi các tài sản đã trộn thành USDT dựa trên Tron để chuẩn bị cho việc rút tiền.
Hậu Quả Thực Tế
Các nhà điều tra cho biết toàn bộ hoạt động này phụ thuộc vào một mạng lưới các nhà môi giới giao dịch ngoài sàn, chủ yếu ở Trung Quốc, những người chấp nhận USDT đã được rửa tiền và gửi tiền tệ fiat tương đương vào các tài khoản ngân hàng do Bắc Triều Tiên kiểm soát thông qua thẻ UnionPay của Trung Quốc.
Chiến dịch trộm cắp kỹ thuật số không ngừng này có những hậu quả nghiêm trọng và trực tiếp trong thế giới thực. Hàng tỷ USD bị rút ra từ hệ sinh thái tiền điện tử không biến mất vào một khoảng trống quan liêu. Báo cáo của MSMT kết luận rằng dòng doanh thu này là rất quan trọng để mua sắm vật liệu và thiết bị cho các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo bất hợp pháp của Bắc Triều Tiên.
Bằng cách cung cấp một dòng tiền bất hợp pháp khổng lồ miễn nhiễm với các lệnh trừng phạt tài chính truyền thống, ngành công nghiệp tiền điện tử toàn cầu đã bị vũ khí hóa, trở thành một nhà tài trợ không được quản lý và không mong muốn cho tham vọng quân sự của Bình Nhưỡng. Các vụ trộm không chỉ đơn thuần là tội phạm vì lợi nhuận; chúng là những hành động chính sách nhà nước, tài trợ cho việc xây dựng quân sự đe dọa an ninh toàn cầu.
