Tin Tặc Triều Tiên Đánh Cắp 2,02 Tỷ USD Tiền Điện Tử
Tin tặc từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đã đánh cắp 2,02 tỷ USD tiền điện tử tính đến thời điểm hiện tại trong năm 2025, theo báo cáo của Chainalysis công bố vào thứ Năm. Số tiền này đại diện cho mức tăng 51% so với năm trước, và là năm có số vụ đánh cắp tiền điện tử liên quan đến DPRK lớn nhất từ trước đến nay. Tổng cộng, trong năm nay, tiền điện tử đã chứng kiến 3,4 tỷ USD bị đánh cắp, có nghĩa là các cuộc tấn công của DPRK chiếm 59% trong tổng số tiền bị đánh cắp này.
Sự Tiến Hóa Trong Hoạt Động Của Triều Tiên
Chainalysis cho rằng dữ liệu này cho thấy một sự tiến hóa trong hoạt động của Triều Tiên, khi họ bắt đầu thực hiện ít cuộc tấn công hơn nhưng gây thiệt hại lớn hơn với mỗi cuộc tấn công. Một ví dụ điển hình cho sự tiến hóa này là cuộc tấn công trị giá 1,5 tỷ USD vào Bybit vào tháng Hai, mà FBI đã liên kết với DPRK. “Đối với ngành công nghiệp tiền điện tử, sự tiến hóa này đòi hỏi sự cảnh giác cao hơn đối với các mục tiêu có giá trị cao và cải thiện khả năng phát hiện các mẫu rửa tiền đặc trưng của DPRK,” báo cáo cho biết. “Sở thích nhất quán của họ đối với một số loại dịch vụ và số tiền chuyển khoản nhất định cung cấp cơ hội phát hiện, phân biệt họ với các tội phạm khác, và có thể giúp các nhà điều tra xác định dấu vết hành vi trên chuỗi của họ.”
Mẫu Rửa Tiền Đặc Trưng
Chainalysis đã xác định một mẫu rửa tiền đặc trưng kéo dài ba đợt trong 45 ngày mà các tin tặc DPRK thường theo dõi. Các chỉ số nhận diện bao gồm việc sử dụng các dịch vụ tiếng Trung, phụ thuộc nặng nề vào việc chuyển tài sản qua các chuỗi để gây khó khăn cho việc theo dõi, và sử dụng nhiều dịch vụ trộn tiền điện tử hơn. Mẫu này, theo báo cáo, đã tồn tại trong vài năm qua.
Đe Dọa Từ Các Tin Tặc Triều Tiên
Chainalysis đã không phản hồi yêu cầu bình luận của Decrypt về cách các nhà phân tích biết rằng những cuộc tấn công này đến từ DPRK chứ không phải từ các nhóm khác.
Ngày càng nhiều, các cuộc tấn công đến từ những kẻ xấu được các công ty tiền điện tử thuê. Kẻ tấn công sau đó làm việc để có được quyền truy cập đặc quyền trước khi đánh cắp thông tin quan trọng hoặc tài sản. Binance đã cho Decrypt biết vào mùa hè rằng các tin tặc Triều Tiên cố gắng được thuê bởi các sàn giao dịch tập trung lớn mỗi ngày. Jimmy Su, giám đốc an ninh của Binance, giải thích rằng các kẻ tấn công thậm chí có thể sử dụng video trực tiếp do AI tạo ra và bộ thay đổi giọng nói trong các cuộc gọi để cố gắng được thuê. Sàn giao dịch đã xác định một số dấu hiệu nhận biết chung của các kẻ tấn công DPRK và chia sẻ thông tin tình báo này với các sàn giao dịch tiền điện tử khác qua Telegram và Signal.
Đầu Độc Gói NPM
Ngoài ra, các tin tặc Triều Tiên đã được phát hiện đang đầu độc các gói NPM, thường được sử dụng trong các thư viện mã công khai, để xâm nhập vào các dự án. Một lần nữa, Binance đã thừa nhận mối đe dọa này và tuyên bố rằng các nhà phát triển của họ buộc phải kiểm tra từng thư viện mã một cách kỹ lưỡng.
Kết Luận
“Khi Triều Tiên tiếp tục sử dụng việc đánh cắp tiền điện tử để tài trợ cho các ưu tiên của nhà nước và vượt qua các lệnh trừng phạt quốc tế, ngành công nghiệp phải nhận ra rằng tác nhân đe dọa này hoạt động theo các quy tắc khác với các tội phạm mạng thông thường,” báo cáo của Chainalysis cho biết. “Hiệu suất kỷ lục của đất nước trong năm 2025 – đạt được với 74% số cuộc tấn công đã biết ít hơn – cho thấy chúng ta có thể chỉ thấy phần nổi bật nhất trong các hoạt động của họ.”
“Thách thức cho năm 2026 sẽ là phát hiện và ngăn chặn những hoạt động có tác động lớn này trước khi các tác nhân liên quan đến DPRK gây ra một sự cố quy mô Bybit khác,” báo cáo kết thúc.
