Hacker Triều Tiên Giả Tuyển Dụng IT, Cướp 1,6 Tỷ USD Crypto

Các nhóm tin tặc Triều Tiên đang đẩy mạnh chiến dịch lừa đảo qua việc giả danh tuyển dụng IT để tấn công hệ thống đám mây và đánh cắp số lượng lớn tiền điện tử. Theo báo cáo mới nhất từ Google Cloud và công ty bảo mật Wiz, nhóm này đã lấy đi hơn 1,6 tỷ USD crypto chỉ trong năm 2025.

Chiêu trò giả danh tuyển dụng của UNC4899

Nhóm UNC4899, còn được biết đến với tên TraderTraitor, Jade Sleet hoặc Slow Pisces, là đơn vị được nhà nước Triều Tiên hậu thuẫn. Chúng thường tiếp cận nhân viên thông qua mạng xã hội, giả làm nhà tuyển dụng, phóng viên, chuyên gia hoặc giáo sư. Sau khi xây dựng lòng tin, hacker giao các bài test công việc chứa mã độc, từ đó cài đặt phần mềm gián điệp và chiếm quyền truy cập vào hệ thống cloud của công ty nạn nhân. Mục tiêu chính là thu thập thông tin đăng nhập và kiểm soát các máy chủ xử lý giao dịch crypto.

Tấn công trực diện vào hệ thống Cloud

Các vụ tấn công gần đây nhắm vào cả Google Cloud và AWS, mỗi vụ gây thiệt hại hàng triệu USD. Hacker chọn hạ tầng đám mây vì đây là nơi lưu trữ dữ liệu và tài sản của ngành crypto. Các nhóm như Lazarus Group, APT38, BlueNoroff và Stardust Chollima phối hợp thực hiện, với lực lượng có thể lên tới hàng nghìn người.

Sự tiến hóa của chiến dịch TraderTraitor

Chiến dịch này đã thay đổi liên tục để tăng hiệu quả. Giai đoạn 2020 - 2022, nhóm dùng ứng dụng crypto giả phát triển bằng Electron, JavaScript và Node.js để lừa nạn nhân tải về. Sang 2023, chúng thêm mã nguồn mở độc hại vào chiến dịch. Đến 2024, hình thức job giả được đẩy mạnh, chủ yếu nhắm vào các sàn giao dịch, với những vụ tấn công gây chấn động như đánh cắp 305 triệu USD từ DMM Bitcoin (Nhật Bản) và 1,5 tỷ USD từ Bybit.

AI – Vũ khí mới trong tay hacker Triều Tiên

Hacker Triều Tiên là những kẻ nhanh nhạy trong việc áp dụng công nghệ mới, đặc biệt là trí tuệ nhân tạo. AI được dùng để soạn email lừa đảo thuyết phục hơn, tự động viết mã độc và xây dựng kịch bản tấn công tinh vi. Sự kết hợp giữa kỹ thuật xã hội và công nghệ cao giúp chúng mở rộng quy mô và tăng tốc độ xâm nhập.

Cảnh báo từ chuyên gia bảo mật

Các chuyên gia nhận định nhóm này chưa có dấu hiệu chậm lại và đang tiếp tục mở rộng hoạt động. Benjamin Read từ Wiz cho rằng TraderTraitor nhắm mạnh vào cloud vì đây là trung tâm dữ liệu và tiền của ngành crypto. Jamie Collier từ Google nhấn mạnh hacker Triều Tiên là lực lượng linh hoạt, liên tục thích ứng để đáp ứng mục tiêu chiến lược và tài chính của chế độ.

Khuyến nghị bảo mật cho doanh nghiệp Crypto

Để phòng ngừa, các công ty crypto cần tập trung đào tạo nhân viên nhận diện các hình thức lừa đảo tuyển dụng, triển khai xác thực đa yếu tố cho toàn bộ truy cập cloud, đồng thời tăng cường giám sát và quét mã độc định kỳ. Đây là những bước cơ bản nhưng đóng vai trò quan trọng để giảm thiểu nguy cơ trở thành nạn nhân của những chiến dịch tấn công tinh vi này.