Kraken, một sàn giao dịch tiền điện tử nổi tiếng, đã phát hiện một nỗ lực xâm nhập tinh vi của một hacker Triều Tiên giả làm ứng viên việc làm.
Các nhóm an ninh và tuyển dụng đã đưa ứng viên này tiến xa hơn trong quá trình tuyển dụng. Mục tiêu là nghiên cứu chiến lược của họ và thu thập thông tin quan trọng.
Làm thế nào một Hacker Triều Tiên Đã Cố Gắng Xâm Nhập Kraken
Kraken đã chi tiết hóa sự cố này trong một bài đăng blog gần đây vào ngày 1 tháng 5. Hacker đã ứng tuyển một vị trí kỹ sư tại sàn giao dịch, ban đầu xuất hiện như một ứng viên hợp lệ, được cho là có tên Steven Smith. Tuy nhiên, một số cờ đỏ đã xuất hiện trong quá trình tuyển dụng.
"Những gì bắt đầu như một quy trình tuyển dụng thông thường cho một vị trí kỹ sư nhanh chóng trở thành một hoạt động thu thập tình báo, khi các nhóm của chúng tôi cẩn thận đưa ứng viên qua quy trình tuyển dụng để tìm hiểu thêm về các chiến thuật của họ ở mọi giai đoạn của quá trình," Kraken đã ghi nhận.
Ứng viên đã sử dụng một cái tên khác trong cuộc phỏng vấn và liên tục thay đổi giọng nói, cho thấy có sự hướng dẫn. Họ ứng tuyển bằng email được liên kết với các hacker Triều Tiên.
Hơn nữa, cuộc điều tra Tình báo nguồn mở (OSINT) đã phát hiện ra sự liên quan của ứng viên trong một mạng lưới danh tính giả.
"Điều này có nghĩa là nhóm của chúng tôi đã phát hiện ra một hoạt động hack trong đó một cá nhân đã thiết lập nhiều danh tính để ứng tuyển các vị trí trong không gian tiền điện tử và hơn thế nữa. Một số tên đã được nhiều công ty tuyển dụng trước đây, khi nhóm của chúng tôi xác định các địa chỉ email liên quan đến công việc được liên kết với họ. Một danh tính trong mạng lưới này cũng là một đặc vụ nước ngoài có trong danh sách trừng phạt," bài blog viết.
Ngoài ra, những bất thường về kỹ thuật trong thiết lập của họ, như sử dụng máy tính Mac từ xa, được đặt tại cùng một địa điểm và truy cập qua VPN và ID đã bị thay đổi, cho thấy một nỗ lực xâm nhập. Thông tin này xác nhận rằng ứng viên có khả năng là một hacker được nhà nước tài trợ.
Trong một cuộc phỏng vấn cuối cùng với ứng viên, Giám đốc An ninh của Kraken, Nick Percoco, và một số thành viên nhóm đã xác nhận những nghi ngờ của công ty. Việc ứng viên không thể xác minh vị trí của mình hoặc trả lời các câu hỏi về thành phố và quốc tịch đã tiết lộ họ là một kẻ giả mạo.
"Nhiệm vụ của họ là bắt đầu làm việc để đánh cắp sở hữu trí tuệ (IP), đánh cắp tiền từ các công ty đó, nhận lương và làm điều đó một cách rộng rãi," Percoco nói với CBS về những hacker này.
FinCEN Đề Xuất Cấm Nhóm Huione Vì Mối Liên Hệ với Triều Tiên
Trong một diễn biến khác, Mạng lưới Thực thi Tội phạm Tài chính (FinCEN) của Hoa Kỳ đã đề xuất cấm Nhóm Huione có trụ sở tại Campuchia khỏi hệ thống tài chính Hoa Kỳ. Bộ phận này đã xác định Huione là một nhà môi giới chính cho các nhóm hacker Triều Tiên, bao gồm những nhóm liên quan đến các vụ trộm mạng và các vụ lừa đảo tiền điện tử "giết lợn".
"Nhóm Huione đã thiết lập mình như là thị trường được lựa chọn cho các diễn viên mạng độc hại như CHDCND Triều Tiên và các băng đảng tội phạm, những người đã đánh cắp hàng tỷ đô la từ những người Mỹ bình thường," Bộ trưởng Ngân khố Scott Bessent nói.
FinCEN buộc tội nhóm này đã rửa hơn 4 tỷ đô la tiền bất hợp pháp giữa tháng 8/2021 và tháng 1/2025. Theo bộ phận này, mạng lưới của Huione, bao gồm Huione Pay, Huione Crypto và Haowang Guarantee, là một thị trường ưa thích của các tội phạm tiền điện tử, cung cấp các dịch vụ như xử lý thanh toán và một thị trường trực tuyến bất hợp pháp.
"Hành động được đề xuất hôm nay sẽ cắt đứt quyền truy cập ngân hàng đại lý của Nhóm Huione, làm suy yếu khả năng rửa tiền của các nhóm này. Bộ Ngân khố vẫn cam kết ngăn chặn mọi nỗ lực của các diễn viên mạng độc hại nhằm thu được doanh thu từ hoặc cho các âm mưu tội phạm của họ," Bessent nói thêm.
Những sự việc này đã làm nổi bật một mô hình các cuộc tấn công mạng của Triều Tiên vào lĩnh vực tiền điện tử. Năm 2024, các hacker đã đánh cắp hơn 659 triệu đô la từ các công ty tiền điện tử.
Theo một tuyên bố chung từ Hoa Kỳ, Nhật Bản và Hàn Quốc, các hacker Triều Tiên đã nhắm mục tiêu vào ngành bằng các chiến thuật như kỹ thuật xã hội và phần mềm độc hại (ví dụ như TraderTraitor, AppleJeus). Ngoài ra, các nhân viên CNTT Triều Tiên đã được xác định là mối đe dọa nội bộ đối với các công ty khu vực tư nhân.
Các báo cáo trước đây của BeInCrypto đã nêu bật Nhóm Lazarus nổi tiếng, một nhóm hack được nhà nước Triều Tiên tài trợ, liên quan đến các vụ trộm tại Bybit và Upbit. Hơn nữa, các nhóm hacker từ quốc gia này cũng đứng sau vụ hack Radiant Capital và vụ khai thác DMM Bitcoin.
Thực tế, gần đây, nhà điều tra on-chain ZachXBT đã phát hiện ra sự tham gia đáng kể của Triều Tiên vào các giao thức tài chính phi tập trung (DeFi), với một số trong số đó phụ thuộc gần như 100% khối lượng/phí hàng tháng từ Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên).
