Nhóm tin tặc Triều Tiên ráo riết đánh cắp tài sản ảo.

Triều Tiên chiếm 60% tổng thiệt hại do tấn công mạng gây ra.

Ngày 12, công ty an ninh mạng CertiK thông báo rằng một nhóm tin tặc có liên hệ với Triều Tiên đã đánh cắp khoảng 2,06 tỷ đô la (3 triệu tỷ 864 nghìn tỷ 980 tỷ won) tài sản ảo bị đánh cắp trong năm 2025, chiếm khoảng 60% tổng thiệt hại.

Theo báo cáo Skynet của CertiK, các tổ chức có liên hệ với Triều Tiên đã tham gia vào 79 trong số 656 vụ việc liên quan đến an ninh tài sản ảo xảy ra năm ngoái, gây thiệt hại tổng cộng 3,46 tỷ đô la (5,1834 nghìn tỷ won).

Báo cáo phân tích rằng Triều Tiên đã "công nghiệp hóa" việc đánh cắp tài sản ảo đến mức trở thành một ngành kinh doanh sinh lời do nhà nước điều hành. Certick giải thích rằng các nhóm tin tặc Triều Tiên liên tục mở rộng hoạt động đánh cắp tài sản ảo để đảm bảo nguồn vốn cho việc phát triển hạt nhân và tên lửa đạn đạo.

Các tổ chức có liên hệ với Triều Tiên gần đây đang có xu hướng tập trung vào các cuộc tấn công vào các nền tảng lưu trữ lượng lớn tiền thay vì chỉ đơn giản là hack ví. CertiK cho biết, mặc dù các tổ chức Triều Tiên chỉ chiếm khoảng 12% tổng số vụ việc, nhưng chúng lại chiếm khoảng 60% số tiền bị đánh cắp.

Vụ việc lớn nhất là vụ tấn công mạng Bybit xảy ra vào tháng Hai. Vào thời điểm đó, khoảng 1,5 tỷ đô la (2,2472 nghìn tỷ won) đã bị thất thoát, và Certik đã phân tích vụ tấn công này là một vụ xâm phạm chuỗi cung ứng do nhóm tin tặc TraderTraitor có liên hệ với Triều Tiên thực hiện.

Certik giải thích rằng khoảng 86% lượng Ethereum (ETH) bị đánh cắp đã được chuyển đổi thành Bitcoin (BTC) trong vòng một tháng thông qua các dịch vụ trộn tiền, cầu nối chuỗi chéo và các sàn giao dịch DeFi.

Các phương thức tấn công của các tổ chức tin tặc Triều Tiên cũng đã thay đổi. Certick phân tích rằng các cuộc tấn công gần đây đã mở rộng từ phương pháp tập trung vào lừa đảo qua email sang thiết lập các mối quan hệ ngoại tuyến và xâm nhập mạng lưới nội bộ.

Vụ việc Drift Protocol xảy ra vào tháng 4 được dẫn ra làm ví dụ điển hình. Một tổ chức có liên hệ với Triều Tiên đã đánh cắp khoảng 285 triệu đô la (426,9 tỷ won) từ một nền tảng có trụ sở tại Solana sau khi xây dựng mối quan hệ và thao túng quản trị trong khoảng sáu tháng.

Jonathan Reese, một nhà phân tích tình báo blockchain tại Certick, cảnh báo rằng các nhân viên CNTT Triều Tiên đang sử dụng danh tính giả để tạo dựng lòng tin nội bộ tại các công ty tiền điện tử và fintech phương Tây. Ông giải thích rằng các nhóm tin tặc Triều Tiên đang đồng thời sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) và tấn công kỹ thuật (technical attacks).

Phóng viên Jeong Ha-yeon yomwork8824@blockstreet.co.kr