Các nhóm hacker Triều Tiên đang sử dụng lời mời làm việc IT tự do để truy cập vào các hệ thống đám mây và đánh cắp tiền điện tử trị giá hàng triệu đô la, theo nghiên cứu riêng biệt từ Google Cloud và công ty bảo mật Wiz.
Báo cáo Chân trời Mối đe dọa Đám mây H2 2025 của Google Cloud tiết lộ rằng Nhóm Tình báo Mối đe dọa của Google đang "theo dõi tích cực" UNC4899, một đơn vị hacker Triều Tiên đã xâm nhập thành công hai công ty sau khi liên hệ với nhân viên qua mạng xã hội.
Trong cả hai trường hợp, UNC4899 đã giao nhiệm vụ cho nhân viên dẫn đến việc chạy phần mềm độc hại trên máy trạm của họ, cho phép nhóm hacker thiết lập kết nối giữa các trung tâm chỉ huy và điều khiển với các hệ thống đám mây của các công ty mục tiêu.
Kết quả là, UNC4899 đã có thể khám phá môi trường đám mây của các nạn nhân, thu thập thông tin đăng nhập và cuối cùng xác định các máy chủ chịu trách nhiệm xử lý các giao dịch tiền điện tử.
Mặc dù mỗi sự cố riêng biệt nhắm đến các công ty (không được nêu tên) và các dịch vụ đám mây khác nhau (Google Cloud và AWS), nhưng cả hai đều dẫn đến việc đánh cắp "số tiền điện tử trị giá nhiều triệu đô".
Jamie Collier, Cố vấn Tình báo Mối đe dọa khu vực Châu Âu tại Nhóm Tình báo Mối đe dọa của Google, cho biết việc các hacker Triều Tiên sử dụng lời mời việc làm hiện nay là "khá phổ biến và rộng rãi", phản ánh mức độ tinh vi đáng kể.
"Họ thường giả làm nhà tuyển dụng, nhà báo, chuyên gia hoặc giáo sư đại học khi liên hệ với mục tiêu," ông nói, đồng thời cho biết thêm rằng họ thường liên lạc qua lại nhiều lần để xây dựng mối quan hệ với các mục tiêu.
Collier giải thích rằng các diễn viên mối đe dọa Triều Tiên là những người đầu tiên nhanh chóng áp dụng các công nghệ mới như AI, mà họ sử dụng để tạo ra "các email xây dựng mối quan hệ thuyết phục hơn" và viết các script độc hại.
Công ty bảo mật đám mây Wiz cũng báo cáo về các hoạt động của UNC4899, lưu ý rằng nhóm này còn được gọi bằng các tên TraderTraitor, Jade Sleet và Slow Pisces.
Wiz cho biết TraderTraitor đại diện cho một loại hoạt động mối đe dọa nhất định chứ không phải một nhóm cụ thể, với các thực thể được Triều Tiên hỗ trợ như Lazarus Group, APT38, BlueNoroff và Stardust Chollima đều đứng sau các vụ khai thác điển hình của TraderTraitor.
Trong phân tích của mình về UNC4899/TraderTraitor, Wiz ghi nhận các chiến dịch bắt đầu từ năm 2020 và từ đầu, các nhóm hacker có trách nhiệm đã sử dụng lời mời việc làm để dụ nhân viên tải xuống các ứng dụng tiền điện tử độc hại được xây dựng trên JavaScript và Node.js bằng framework Electron.
Theo Wiz, chiến dịch của nhóm từ năm 2020 đến 2022 đã "xâm nhập thành công nhiều tổ chức", bao gồm vụ vi phạm 620 triệu đô la của Lazarus Group đối với Mạng lưới Ronin của Axie Infinity.
Hoạt động mối đe dọa TraderTraitor sau đó phát triển vào năm 2023 để kết hợp việc sử dụng mã nguồn mở độc hại, còn vào năm 2024, nó tập trung vào các lời đề nghị việc làm giả, chủ yếu nhắm vào các sàn giao dịch.
Đáng chú ý nhất, các nhóm TraderTraitor chịu trách nhiệm về vụ hack 305 triệu đô la của sàn DMM Bitcoin của Nhật Bản và vụ hack Bybit trị giá 1,5 tỷ đô la vào cuối năm 2024, mà sàn giao dịch đã tiết lộ vào tháng 2 năm nay.
Giống như các vụ khai thác được Google nêu bật, những vụ hack này nhắm đến các hệ thống đám mây ở các mức độ khác nhau, và theo Wiz, các hệ thống như vậy đại diện cho một điểm yếu đáng kể đối với tiền điện tử.
Benjamin Read, Giám đốc Tình báo Mối đe dọa Chiến lược của Wiz, cho biết: "Chúng tôi tin rằng TraderTraitor đã tập trung vào các khai thác và kỹ thuật liên quan đến đám mây vì đó là nơi có dữ liệu, và do đó là tiền". "Điều này đặc biệt đúng đối với ngành tiền điện tử, nơi các công ty mới hơn và có khả năng đã xây dựng cơ sở hạ tầng của mình theo cách ưu tiên đám mây".
Read giải thích rằng việc nhắm mục tiêu vào các công nghệ đám mây cho phép các nhóm hacker ảnh hưởng đến một loạt các mục tiêu, tăng khả năng kiếm được nhiều tiền hơn.
Những nhóm này đang kinh doanh lớn, với "ước tính 1,6 tỷ đô la tiền điện tử bị đánh cắp cho đến nay trong năm 2025", ông nói thêm rằng TraderTraitor và các nhóm liên quan có lực lượng "có khả năng là hàng ngàn người", những người làm việc trong nhiều nhóm và đôi khi chồng chéo lên nhau.
"Mặc dù khó có thể đưa ra một con số cụ thể, nhưng rõ ràng chế độ Triều Tiên đang đầu tư đáng kể vào các năng lực này."
Cuối cùng, sự đầu tư như vậy đã giúp Triều Tiên trở thành nhà lãnh đạo trong việc hack tiền điện tử, với báo cáo của TRM Labs vào tháng 2 kết luận rằng quốc gia này chiếm 35% tổng số tiền bị đánh cắp trong năm ngoái.
Các chuyên gia cho rằng tất cả các dấu hiệu hiện có cho thấy quốc gia này có khả năng sẽ tiếp tục là một phần không thể thiếu trong việc hack liên quan đến tiền điện tử trong một thời gian tới, đặc biệt là với khả năng của các điệp viên trong việc phát triển các kỹ thuật mới.
Ông Collier của Google cho biết: "Các diễn viên mối đe dọa Triều Tiên là một lực lượng năng động và linh hoạt, liên tục thích ứng để đáp ứng các mục tiêu chiến lược và tài chính của chế độ".
Collier nhấn mạnh rằng các hacker Triều Tiên ngày càng sử dụng AI, giải thích rằng việc sử dụng như vậy cho phép "nhân rộng lực lượng", từ đó giúp các hacker mở rộng quy mô các vụ khai thác của mình.
"Chúng tôi không thấy bằng chứng nào cho thấy họ đang chậm lại và dự đoán sự mở rộng này sẽ tiếp tục," ông nói.
