Báo cáo về hoạt động của Triều Tiên trong lĩnh vực tiền điện tử
Theo báo cáo mới từ Nhóm Giám sát Các Biện pháp Trừng phạt Đa phương (MSMT), Triều Tiên đã đánh cắp 2,84 tỷ đô la trong lĩnh vực tiền điện tử kể từ tháng 1 năm 2024. Nhóm này có nhiệm vụ giám sát việc vi phạm các biện pháp trừng phạt của Liên Hợp Quốc đối với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) và cũng phát hiện rằng DPRK đã đánh cắp “ít nhất” 1,65 tỷ đô la trong khoảng thời gian từ tháng 1 đến tháng 9 năm nay. Phần lớn số tiền này đến từ vụ hack Bybit vào tháng 2.
Vi phạm các nghị quyết của Liên Hợp Quốc
Tuy nhiên, MSMT – nhóm bao gồm Mỹ, Nhật Bản, Đức, Pháp, Canada, Úc và các quốc gia phương Tây khác – cũng báo cáo rằng Triều Tiên đã mở rộng việc sử dụng lao động CNTT từ xa. Việc triển khai lao động CNTT quốc tế vi phạm các Nghị quyết của Hội đồng Bảo an Liên Hợp Quốc 2375 và 2397, cấm việc tuyển dụng lao động từ Triều Tiên, nhưng điều này không ngăn cản DPRK tham gia vào thị trường lao động của ít nhất tám quốc gia. Những quốc gia này bao gồm Trung Quốc, Nga, Lào, Campuchia, Guinea Xích Đạo, Guinea, Nigeria và Tanzania, với báo cáo cho biết từ 1.000 đến 1.500 lao động DPRK đã có mặt tại Trung Quốc, và Pyongyang dự định gửi tới 40.000 lao động sang Nga.
Đánh giá về lực lượng mạng của Triều Tiên
Tuy nhiên, trong khi MSMT kết luận rằng lực lượng mạng của Triều Tiên là “một chương trình quốc gia toàn diện, hoạt động với độ tinh vi gần giống như các chương trình mạng của Trung Quốc và Nga,” các tác giả của báo cáo cũng xác nhận rằng các cơ quan và công ty phương Tây đang ngày càng thích ứng với vấn đề này.
“Mặc dù các hacker liên quan đến Triều Tiên đại diện cho một mối đe dọa đáng kể, khả năng của các cơ quan thực thi pháp luật, các cơ quan an ninh quốc gia và khu vực tư nhân trong việc xác định các rủi ro liên quan và đối phó đang gia tăng,” Andrew Fierman, Trưởng phòng Tình báo An ninh Quốc gia tại Chainalysis cho biết.
Hành động của các cơ quan chức năng
Trong một cuộc phỏng vấn với Decrypt, Fierman đã đưa ra một ví dụ từ tháng 8, khi Văn phòng Kiểm soát Tài sản Nước ngoài của Mỹ (OFAC) đã trừng phạt một mạng lưới lao động CNTT giả mạo liên quan đến DPRK. Ông giải thích,
“Những đối tượng này đã bị chỉ định vì sự tham gia của họ vào các kế hoạch chuyển doanh thu từ lao động CNTT của DPRK để hỗ trợ các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của DPRK.”
Fierman cũng lưu ý rằng hàng chục triệu đô la giá trị tiền điện tử đã được thu hồi từ vụ hack Bybit vào tháng 2, trong khi Decrypt đã báo cáo vào tháng 6 rằng một phần của số tiền này đã được truy tìm đến một sàn giao dịch tiền điện tử ở Hy Lạp.
Khuyến nghị về hợp tác và an ninh
“Khu vực tư nhân đang xác định các mối đe dọa từ lao động CNTT của DPRK một cách hiệu quả hơn, như đã được chứng minh gần đây bởi những nỗ lực của Kraken vào tháng 5 năm 2025,” Fierman nói thêm.
Vào tháng 8, giám đốc an ninh của Binance đã nói với Decrypt rằng sàn giao dịch này loại bỏ hồ sơ xin việc từ các hacker Triều Tiên muốn được tuyển dụng tại công ty hàng ngày. Khả năng xác định và ngăn chặn các hoạt động của Triều Tiên là rất quan trọng, vì như báo cáo và Fierman đã làm rõ, các quỹ được tạo ra từ các hoạt động của DPRK thường được chuyển đến chương trình vũ khí của họ.
“Báo cáo của MSMT chi tiết cách mà các quỹ này đang được sử dụng để mua sắm mọi thứ từ xe bọc thép đến hệ thống tên lửa phòng không di động,” Fierman nói.
“Trong khi đó, các hoạt động gián điệp mạng của DPRK nhắm vào các ngành công nghiệp quan trọng bao gồm chất bán dẫn, chế biến uranium và công nghệ tên lửa, tạo ra một vòng lặp phản hồi nguy hiểm giữa các tội phạm tài chính của họ và khả năng quân sự.”
Kết luận và khuyến nghị
Đối mặt với những mối đe dọa như vậy, Fierman đã khuyến nghị tăng cường hợp tác giữa các thực thể công và tư, điều mà báo cáo của MSMT là sản phẩm của sự tham gia của Chainalysis, Mandiant của Google Cloud, DTEX, Palo Alto Networks, Upwork và Sekoia.io. Ông nói,
“Các sáng kiến chia sẻ dữ liệu, các khuyến cáo của chính phủ, các giải pháp an ninh theo thời gian thực, các công cụ truy vết tiên tiến và đào tạo có mục tiêu có thể giúp các bên liên quan nhanh chóng xác định và vô hiệu hóa các tác nhân độc hại trong khi xây dựng khả năng phục hồi cần thiết để bảo vệ tài sản tiền điện tử.”
Bằng cách sử dụng trí tuệ blockchain và các biện pháp an ninh mạng truyền thống, các bên bị ảnh hưởng sẽ có thể xác định và đóng băng các quỹ bị đánh cắp trước khi chúng được rửa tiền, đồng thời lập bản đồ các mạng tài chính của Triều Tiên. Dựa trên điều này, Fierman và Chainalysis khuyến nghị rằng các tổ chức “thực hiện giám sát blockchain toàn diện, phát triển quy trình thẩm định nâng cao cho việc tuyển dụng nhà thầu CNTT, triển khai các hệ thống phát hiện mối đe dọa tiên tiến, duy trì các cuộc kiểm toán an ninh định kỳ và thiết lập các quy trình rõ ràng cho các giao dịch lớn.”
