*Bài viết này đã được dịch tự động. Vui lòng tham khảo bài viết gốc để biết nội dung chính xác.
Các chuyên gia công nghệ Triều Tiên (DPRK) tiếp tục xâm nhập vào các công ty công nghệ trên toàn thế giới và tạo ra doanh thu, thường bằng tiền điện tử, để tài trợ cho hoạt động sản xuất vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của Triều Tiên. Trong vài năm qua, các cơ quan quản lý, bao gồm Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ và Bộ Ngoại giao Hàn Quốc (MOFA), đã áp đặt các biện pháp trừng phạt đối với các cá nhân và tổ chức tiếp tay cho những âm mưu này. Các biện pháp trừng phạt thường bao gồm địa chỉ tiền điện tử làm thông tin nhận dạng.
Chainalysis đang theo dõi sát sao việc bổ sung địa chỉ tiền điện tử vào danh sách trừng phạt nhắm vào các chương trình lừa đảo nhân viên CNTT của Triều Tiên, cũng như thông tin tình báo nguồn mở về mối đe dọa này. Chúng tôi đang theo dõi việc Triều Tiên sử dụng tiền điện tử để tạo doanh thu, di chuyển và tích lũy tiền, cũng như rửa tiền thông qua việc sử dụng các tài khoản giả mạo trên các sàn giao dịch chính thống và các sàn giao dịch OTC tiềm ẩn rủi ro cao.
Các hành động thực thi pháp lý gần đây bao gồm các lệnh trừng phạt của OFAC vào tháng 8 năm 2025 nhắm vào các công dân Nga đã tạo điều kiện cho các khoản thanh toán cho Công ty Hợp tác Công nghệ Thông tin Chinyong của Triều Tiên (Chinyong, còn được gọi là Công ty Hợp tác CNTT Jinyong). Chinyong đã bị OFAC và Bộ Ngoại giao Hàn Quốc trừng phạt vào tháng 5 năm 2023 vì tuyển dụng nhân viên CNTT Triều Tiên ở nước ngoài.
Đầu năm 2023, OFAC đã trừng phạt Sim Hyon Sop (Sim), đại diện của Korea Kwangson Banking Corp (KKBC), và chỉ định địa chỉ tiền điện tử của ông ta. Sim đã nhận hàng chục triệu đô la tiền điện tử, bao gồm một phần thu nhập từ các nhân viên CNTT Triều Tiên. Người đồng cấp của ông ta, Lu Huaying (Lu, công dân Trung Quốc cư trú tại UAE), cũng bị trừng phạt vì liên quan đến việc rửa tiền cho các nhân viên CNTT Triều Tiên.
Những hoạt động này làm nổi bật các mạng lưới phức tạp phụ thuộc nhiều vào tiền điện tử để tạo ra và rửa tiền, tạo cơ hội cho các cơ quan thực thi pháp luật. Như lệnh tịch thu mới nhất của Bộ Tư pháp Hoa Kỳ (DOJ) đã chứng minh, phân tích blockchain nâng cao cung cấp những thông tin chuyên sâu độc đáo và các công cụ hiệu quả để phát hiện và phá vỡ các mạng lưới rửa tiền bất hợp pháp do nhân viên CNTT vận hành.
Blog này mô tả các mạng lưới, cơ chế và hoạt động mà nhân viên CNTT Triều Tiên sử dụng để tạo ra và rửa tiền. Việc hiểu rõ các mạng lưới này có thể giúp cơ quan thực thi pháp luật, cơ quan quản lý và các công ty tư nhân phát hiện hoạt động của nhân viên CNTT trên chuỗi và ngăn chặn dòng tiền chảy vào các chương trình Vũ khí Hủy diệt Hàng loạt (WMD).
Kiếm doanh thu từ tài sản tiền điện tử
Nhân viên CNTT Triều Tiên thường được gửi ra nước ngoài thông qua các trung gian như Chinyong để xin việc tại các công ty CNTT trên toàn thế giới. Họ sử dụng nhiều phương pháp che giấu vị trí và danh tính, bao gồm mạng riêng ảo (VPN), ID giả hoặc bị đánh cắp, và công nghệ nhận dạng giọng nói và khuôn mặt bằng AI.
Sau khi được tuyển dụng, họ yêu cầu thanh toán bằng stablecoin, loại tiền điện tử có giá trị ổn định và được các nhà giao dịch OTC ưa chuộng. Việc kiểm tra hoạt động trên chuỗi liên quan đến địa chỉ thanh toán của nhân viên CNTT Triều Tiên cho thấy các khoản thanh toán thường xuyên khoảng 5.000 đô la mỗi tháng vào các ví này, cho thấy đây là khoản thanh toán lương.
Che giấu doanh thu thông qua công nghệ blockchain
Sau khi nhận lương, nhân viên CNTT Triều Tiên chuyển tài sản tiền điện tử của họ bằng nhiều kỹ thuật rửa tiền. Chuyển đổi chuỗi (chain-hopping) và hoán đổi token là một số cách mà nhân viên CNTT và kẻ rửa tiền sử dụng để phân biệt nguồn gốc và đích đến của tiền trên chuỗi. Họ cũng sử dụng các hợp đồng thông minh như sàn giao dịch phi tập trung (DEX) và giao thức cầu nối để gây khó khăn cho việc theo dõi tiền.
Biểu đồ Chainalysis Reactor bên dưới cho thấy các giao thức phi tập trung, cầu nối và sàn giao dịch phổ biến đang được sử dụng để che giấu dòng tiền.
Nhân viên CNTT Triều Tiên cũng sử dụng các bên trung gian để tạo điều kiện cho quá trình rửa tiền và cuối cùng chuyển tiền về Triều Tiên. Theo lệnh tịch thu tiền của Bộ Tư pháp, tiền thanh toán của nhân viên CNTT được xếp chồng lên nhau với các khoản thu nhập bất hợp pháp khác và tiền của nhân viên CNTT Triều Tiên, sau đó được chuyển cho các quan chức chính quyền, những người mở tài khoản trên các sàn giao dịch chính thống bằng danh tính giả.
Những kẻ rửa tiền ở Triều Tiên thường mở tài khoản giao dịch bằng danh tính giả, trong khi những kẻ hoạt động ở các quốc gia khác thường dùng tên thật. Theo lệnh của Bộ Tư pháp, Sim đã sử dụng chứng minh thư Nga giả, trong khi Lu mở một tài khoản trên FTX (hiện đã đóng cửa) dưới tên thật và thẻ cư trú UAE.
Lệnh tịch thu cũng lưu ý rằng số tiền thuộc về các nhân viên CNTT Triều Tiên đã được chuyển cho Kim Sang Man (KIM), đại diện của Chinyong, Sim Hyon Sop (SIM), người có liên hệ với KKBC, và Lu, một nhà giao dịch chứng khoán không qua sàn đã bị trừng phạt vào tháng 12 năm 2024 vì sử dụng một công ty bình phong ở UAE để chuyển tiền bất hợp pháp cho Bình Nhưỡng.
Biểu đồ lò phản ứng bên dưới cho thấy dòng tiền từ nhân viên CNTT Triều Tiên vào tài khoản sàn giao dịch của KIM và ví không lưu trữ do SIM Lu vận hành.
Chuyển đổi thu nhập thành tiền pháp định
Sau khi các nhân viên CNTT Triều Tiên rửa tiền trên blockchain và chuyển cho các đặc vụ của chính quyền Triều Tiên, số tiền này được chuyển đổi thành tiền pháp định, thường thông qua các tài khoản ảo trên các sàn giao dịch chính thống hoặc các nhà môi giới giao dịch phi tập trung (OTC). Biểu đồ dưới đây cho thấy rõ ràng SIM phụ thuộc rất nhiều vào Lu để rửa tiền cho chính quyền Triều Tiên.
Phản ứng với các mạng lưới rửa tiền sử dụng tiền điện tử và bài học kinh nghiệm
Việc OFAC chỉ định và lệnh tịch thu gần đây của Bộ Tư pháp cho thấy các hạn chế quốc tế ngày càng gia tăng đối với các chương trình lao động CNTT của Triều Tiên và những nỗ lực phá vỡ mạng lưới tài chính của họ. Từ những người đóng góp cho đến cơ sở hạ tầng và trung gian, các mạng lưới này sẽ tiếp tục là mục tiêu hàng đầu của cơ quan thực thi pháp luật.
Các khuyến cáo do Bộ Tài chính Anh (OFSI) và Trung tâm Khiếu nại Tội phạm Internet thuộc Cục Điều tra Liên bang Hoa Kỳ (FBI) ban hành đã nêu rõ những dấu hiệu cảnh báo mà các công ty tư nhân cần theo dõi và xác định. Những dấu hiệu cảnh báo chính bao gồm sự không khớp giữa danh tính, vị trí và chứng chỉ, việc sử dụng cơ sở hạ tầng ẩn danh, luồng thanh toán bất thường và các hành vi che giấu. Bằng cách kiểm tra cả các chỉ số trên chuỗi và ngoài chuỗi, các bên tham gia ngành CNTT có thể đóng góp đáng kể vào việc phá vỡ các đường ống tài chính này.
Để các công ty xác định hoạt động của nhân viên CNTT Triều Tiên, họ cần thực hiện các kiểm tra cụ thể, chẳng hạn như: địa chỉ IP không khớp với địa chỉ đã khai báo, ID bị thao túng, từ chối thực hiện cuộc gọi video hoặc sử dụng hồ sơ do AI tạo ra, ưu tiên thanh toán bằng stablecoin, yêu cầu thanh toán trả góp vào nhiều ví, yêu cầu thanh toán phức tạp qua bên thứ ba và mức lương thấp hơn thị trường so với trình độ kỹ thuật cao. Bằng cách tích hợp các kiểm tra này vào hệ thống tuân thủ và lưu giữ hồ sơ chi tiết về các tương tác với nhà thầu, các công ty có thể tránh được nguy cơ vô tình tiếp tay cho Triều Tiên trốn tránh lệnh trừng phạt.
Trang web này chứa các liên kết đến các trang web của bên thứ ba không thuộc quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của công ty (gọi chung là "Chainalysis"). Việc truy cập vào những thông tin này không ngụ ý việc Chainalysis liên kết, xác nhận, chấp thuận hoặc khuyến nghị trang web hoặc nhà điều hành của trang web, và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trên đó.
Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp tư vấn pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến cố vấn của mình trước khi đưa ra những quyết định như vậy. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.
Chainalysis không đảm bảo hoặc bảo hành tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sai sót khác của bất kỳ phần nào trong tài liệu đó.
Bài đăng Bên trong mạng lưới rửa tiền bằng tiền điện tử của nhân viên CNTT Triều Tiên xuất hiện đầu tiên trên Chainalysis .
