Nhân viên CNTT Triều Tiên (DPRK) tiếp tục xâm nhập vào các công ty CNTT trên toàn cầu để kiếm thu nhập, thường bằng tiền điện tử, được sử dụng để tài trợ cho hoạt động sản xuất vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của Triều Tiên. Trong vài năm qua, các hành động quản lý của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ, Bộ Ngoại giao Hàn Quốc (MOFA) và các cơ quan khác đã nhắm mục tiêu vào các cá nhân và tổ chức tiếp tay cho các hoạt động này bằng các biện pháp trừng phạt, thường bao gồm cả địa chỉ tiền điện tử làm thông tin nhận dạng.
Chainalysis theo dõi chặt chẽ việc đưa các địa chỉ tiền điện tử vào danh sách trừng phạt nhắm vào các chương trình đào tạo nhân viên CNTT của CHDCND Triều Tiên, cũng như thông tin nguồn mở về mối đe dọa này. Chúng tôi theo dõi chặt chẽ cách CHDCND Triều Tiên sử dụng tiền điện tử để tạo doanh thu, di chuyển và hợp nhất tiền, cũng như rửa tiền bằng cách sử dụng các tài khoản giả mạo tại các sàn giao dịch chính thống hoặc bằng cách tận dụng các nhà giao dịch phi tập trung (OTC) có khả năng Chưa được kiểm soát .
Các hành động thực thi gần đây bao gồm lệnh trừng phạt của OFAC vào tháng 8 nhắm vào một công dân Nga đã tạo điều kiện thanh toán cho Công ty Hợp tác Công nghệ Thông tin Chinyong (Chinyong) có trụ sở tại CHDCND Triều Tiên, còn được gọi là Công ty Hợp tác CNTT Jinyong, bị OFAC và Bộ Ngoại giao Hàn Quốc (MOFA) trừng phạt vào tháng 5 năm 2023 vì tuyển dụng nhân viên CNTT của CHDCND Triều Tiên ở nước ngoài.
Đầu năm 2023, OFAC đã trừng phạt và đưa vào danh sách địa chỉ tiền điện tử của Sim Hyon Sop (Sim) , đại diện của Korea Kwangson Banking Corp (KKBC), một ngân hàng do OFAC chỉ định, người đã nhận hàng chục triệu đô la tiền ảo, một phần trong số đó đến từ doanh thu của nhân viên CNTT CHDCND Triều Tiên. Các nhà giao dịch OTC như Lu Huaying (Lu) của OFAC , một công dân Trung Quốc sống tại UAE, cũng đã bị trừng phạt vì rửa tiền cho nhân viên CNTT CHDCND Triều Tiên thay mặt cho chế độ Triều Tiên.
Những hoạt động này làm nổi bật một mạng lưới phức tạp, phụ thuộc rất nhiều vào tiền điện tử để tạo ra và rửa tiền, và do đó, cũng tiềm ẩn nhiều nguy cơ gây gián đoạn cho hoạt động thực thi pháp luật. Như được nêu bật trong hành động tịch thu mới nhất của Bộ Tư pháp Hoa Kỳ (DOJ) đối với các quỹ do Triều Tiên kiểm soát, phân tích blockchain tiên tiến vừa mang đến những thông tin chuyên sâu độc đáo vừa là cơ hội thực sự để phát hiện và phá vỡ các mạng lưới rửa tiền gian lận của nhân viên CNTT.
Bài viết này sẽ khám phá các hoạt động, mạng lưới và cơ chế mà nhân viên CNTT của CHDCND Triều Tiên sử dụng để tạo điều kiện cho quá trình tạo doanh thu và rửa tiền. Bằng cách hiểu rõ các mạng lưới này, cơ quan thực thi pháp luật, cơ quan quản lý và ngành công nghiệp tư nhân có thể được trang bị tốt hơn để phát hiện hoạt động của nhân viên CNTT on-chain và ngăn chặn dòng chảy đến chương trình vũ khí hủy diệt hàng loạt (WMD) của CHDCND Triều Tiên.
Tạo doanh thu bằng tiền điện tử
Nhân viên CNTT Triều Tiên thường được triển khai ra nước ngoài thông qua các đơn vị trung gian như Chinyong, nơi họ nộp đơn xin việc tại các công ty CNTT trên toàn cầu. Họ thành công nhờ tận dụng các kỹ thuật che giấu thông tin khác nhau, bao gồm mạng riêng ảo (VPN); giấy tờ tùy thân giả mạo hoặc bị đánh cắp; và công nghệ, chẳng hạn như phần mềm giọng nói và khuôn mặt trí tuệ nhân tạo (AI), để che giấu vị trí và danh tính.
Sau khi được tuyển dụng, nhân viên CNTT của CHDCND Triều Tiên yêu cầu thanh toán bằng stablecoin, có thể là do giá trị ổn định của chúng, cũng như sự phổ biến của chúng với các nhà giao dịch OTC, những người có thể tạo điều kiện thuận lợi cho việc chuyển đổi từ tiền điện tử sang tiền pháp định. Qua đánh giá hoạt động on-chain quan đến các địa chỉ thanh toán của nhân viên CNTT CHDCND Triều Tiên, các ví này dường như nhận được các khoản thanh toán đều đặn với số tiền ổn định, cho thấy đây là một hình thức thanh toán lương. Ví dụ: nhân viên CNTT này của CHDCND Triều Tiên đã nhận được khoản thanh toán khoảng 5.000 đô la gần như hàng tháng:
Làm mờ doanh thu thông qua công nghệ blockchain
Sau khi được trả lương, nhân viên CNTT Triều Tiên chuyển tiền điện tử thông qua nhiều kỹ thuật rửa tiền khác nhau. Một trong những cách mà nhân viên CNTT, cũng như các đối tác rửa tiền của họ, phá vỡ mối LINK (Chainlink) giữa nguồn và đích của tiền on-chain, là thông qua việc nhảy chuỗi và/hoặc hoán đổi Token . Họ tận dụng các hợp đồng thông minh như sàn giao dịch phi tập trung và giao thức cầu nối để làm phức tạp việc truy vết tiền.
Như thể hiện trong biểu đồ Chainalysis Reactor bên dưới, chúng ta có thể thấy việc sử dụng các giao thức và cầu nối phi tập trung cũng như các sàn giao dịch chính thống, tất cả đều được tận dụng để che giấu dòng tiền.
Nhân viên CNTT CHDCND Triều Tiên cũng dựa vào các bên trung gian để tạo điều kiện cho quá trình rửa tiền và cuối cùng chuyển tiền về Triều Tiên. Như đã nêu trong quyết định tịch thu của Bộ Tư pháp đối với các quỹ do CHDCND Triều Tiên kiểm soát, tiền thanh toán cho nhân viên CNTT được rửa tiền thông qua hình thức hợp nhất. Chúng được trộn lẫn với các khoản thu nhập từ tội phạm khác và các nhân viên CNTT khác của CHDCND Triều Tiên, thông qua quá trình phân lớp trước khi được chuyển cho các đại diện của chế độ, những người sử dụng giấy tờ tùy thân giả để mở tài khoản tại các sàn giao dịch chính thống.
Trong khi những kẻ rửa tiền Triều Tiên bị cáo buộc sử dụng giấy tờ tùy thân giả để mở tài khoản tại các sàn giao dịch chính thống, thì các đối tượng hoạt động ở các khu vực pháp lý khác đã sử dụng danh tính thật của họ để mở tài khoản. Theo quyết định tịch thu của Bộ Tư pháp, Sim đã mở tài khoản tại một sàn giao dịch chính thống bằng giấy tờ tùy thân giả của Nga, trong khi Lu sử dụng tên thật và thẻ cư trú tại UAE để mở tài khoản tại sàn giao dịch FTX hiện đã ngừng hoạt động.
Hành động tịch thu này cũng nêu bật cách thức các quỹ của nhân viên CNTT CHDCND Triều Tiên đã được chuyển cho Kim Sang Man (KIM), một công dân Triều Tiên và là đại diện của Chinyong; cho Sim Hyon Sop (SIM), được KKBC tuyển dụng, một công ty con của Ngân hàng Ngoại thương Triều Tiên (FTB); và cho OFAC SDN Lu, một công dân Trung Quốc và là nhà giao dịch OTC đã bị trừng phạt vào tháng 12 năm 2024 vì sử dụng một công ty bình phong có trụ sở tại UAE để chuyển tiền bất hợp pháp đến Bình Nhưỡng.
Biểu đồ Reactor sau đây cho thấy cách tiền của nhân viên CNTT CHDCND Triều Tiên được chuyển vào các tài khoản do KIM kiểm soát tại các sàn giao dịch chính thống, cũng như vào các ví không lưu trữ do SIM và Lu vận hành.
Chuyển doanh thu sang tiền pháp định
Sau khi các nhân viên CNTT CHDCND Triều Tiên rửa tiền trên blockchain và gửi cho các bên trung gian đại diện cho chính phủ Triều Tiên, số tiền này sẽ được chuyển đổi thành tiền pháp định. Việc này thường được thực hiện thông qua các tài khoản giả mạo được vận hành bởi các sàn giao dịch chính thống hoặc thông qua các nhà giao dịch OTC. Biểu đồ dưới đây minh họa cách SIM phụ thuộc rất nhiều vào Lu, một công ty bị trừng phạt vào tháng 12 năm 2024 vì tạo điều kiện cho hoạt động rửa tiền thay mặt chính phủ Triều Tiên.
Bài học kinh nghiệm để nhắm mục tiêu vào các mạng lưới rửa tiền được kích hoạt bằng tiền điện tử
Việc Bộ Tư pháp Hoa Kỳ (DOJ) chỉ định OFAC và các hành động tịch thu gần đây cho thấy sự tập trung toàn cầu vào các chương trình đào tạo nhân viên CNTT của CHDCND Triều Tiên và nỗ lực triệt phá các mạng lưới tài chính giúp chúng trốn tránh các lệnh trừng phạt quốc tế. Từ thủ phạm đến cơ sở hạ tầng và bên tiếp tay, các mạng lưới này vẫn là mục tiêu hàng đầu cho các hành động thực thi pháp luật khi chúng tiếp tục tận dụng công nghệ blockchain để tài trợ cho chế độ Triều Tiên.
Các khuyến cáo do Văn phòng Thực thi Trừng phạt Tài chính (OFSI) thuộc Bộ Tài chính Hoàng gia Anh và Trung tâm Khiếu nại Tội phạm Internet thuộc Cục Điều tra Liên bang (FBI) về nhân viên CNTT tại CHDCND Triều Tiên đưa ra nêu bật những dấu hiệu cảnh báo để khu vực tư nhân theo dõi và xác định những rủi ro này. Các khuyến cáo bao gồm: danh tính, vị trí hoặc thông tin xác thực không nhất quán; cơ sở hạ tầng ẩn danh; luồng thanh toán bất thường; và hành vi che giấu. Bằng cách tìm kiếm các chỉ số on-chain và Ngoài chuỗi này, các bên liên quan trong ngành CNTT có thể đóng vai trò then chốt trong việc phá vỡ các đường ống tài chính hỗ trợ những tác nhân này.
Các công ty nên thực hiện các biện pháp kiểm tra cụ thể để xác định hoạt động tiềm ẩn của nhân viên CNTT Triều Tiên. Những dấu hiệu cảnh báo chính bao gồm vị trí IP không khớp với vị trí đã khai báo, giấy tờ tùy thân bị thao túng và thái độ miễn cưỡng tham gia các cuộc gọi video hoặc sử dụng hồ sơ do AI tạo ra. Về mặt tài chính, hãy chú ý đến các ưu tiên thanh toán bằng stablecoin, yêu cầu chia nhỏ khoản thanh toán trên nhiều ví điện tử và các thỏa thuận thanh toán phức tạp của bên thứ ba. Đặc biệt cảnh giác với các ứng viên cung cấp kỹ năng kỹ thuật nâng cao với mức giá thấp hơn thị trường. Việc tích hợp các biện pháp kiểm tra này vào khuôn khổ tuân thủ, cùng với tài liệu chi tiết về các tương tác với nhà thầu, có thể giúp các tổ chức tránh vô tình tạo điều kiện cho các âm mưu trốn tránh lệnh trừng phạt của Triều Tiên.
Trang web này chứa các liên kết đến các trang web của bên thứ ba không thuộc quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của công ty (gọi chung là "Chainalysis"). Việc truy cập vào những thông tin này không ngụ ý việc Chainalysis liên kết, xác nhận, chấp thuận hoặc khuyến nghị trang web hoặc nhà điều hành của trang web, và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trên đó.
Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp tư vấn pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến cố vấn của mình trước khi đưa ra những quyết định như vậy. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.
Chainalysis không đảm bảo hoặc bảo hành tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sai sót khác của bất kỳ phần nào trong tài liệu đó.
Bài viết Nhân viên CNTT của CHDCND Triều Tiên: Bên trong mạng lưới rửa tiền điện tử của Triều Tiên xuất hiện đầu tiên trên Chainalysis .
