Hacker Triều Tiên dùng AI qua mặt HR! Giả mạo kỹ sư lén lút đánh cắp 2,8 tỷ, toàn bộ quá trình bị phơi bày

Các nhà nghiên cứu an ninh BCA LTD, NorthScan và ANY.RUN đã triển khai honeypot để dụ dỗ Lazarus Group và Chollima, ghi lại toàn bộ quá trình tác nghiệp của hacker Triều Tiên bằng cách ngụy trang thành laptop của lập trình viên. Video cho thấy đặc vụ Triều Tiên sử dụng công cụ AI để tạo ra câu trả lời phỏng vấn hoàn hảo, che giấu vị trí và thiết lập mã PIN cố định cho Google Remote Desktop nhằm đảm bảo kiểm soát lâu dài, tập trung xây dựng hình tượng nhân viên mẫu mực thay vì tấn công ngay lập tức.

Tội phạm mạng 2,8 tỷ USD trở thành trụ cột kinh tế quốc gia Triều Tiên

Sự kiện này chỉ là một phần trong hệ sinh thái công nghiệp lớn hơn, nơi lừa đảo việc làm đã trở thành nguồn thu nhập chủ yếu cho chế độ bị trừng phạt. Nhóm giám sát lệnh trừng phạt đa phương gần đây ước tính rằng các tổ chức liên quan đến Bình Nhưỡng đã đánh cắp khoảng 2,83 tỷ USD tài sản kỹ thuật số trong giai đoạn từ năm 2024 đến tháng 9 năm 2025. Con số này chiếm khoảng một phần ba thu nhập ngoại tệ của Triều Tiên, cho thấy trộm cắp mạng đã trở thành chiến lược kinh tế chủ quyền.

Quy mô 2,83 tỷ USD tương đương GDP hàng năm của nhiều quốc gia nhỏ. Khoản tiền này được sử dụng để hỗ trợ chương trình vũ khí hạt nhân và tên lửa đạn đạo của Triều Tiên, khiến việc chống lại hacker Triều Tiên không chỉ là vấn đề an ninh mạng mà còn là vấn đề an ninh quốc tế. Bộ Tài chính Hoa Kỳ, FBI và các cơ quan thực thi pháp luật đa quốc gia đều ưu tiên theo dõi và ngăn chặn tội phạm mạng Triều Tiên.

Sau khi các lệnh trừng phạt quốc tế cắt đứt kênh thương mại hợp pháp của Triều Tiên, tội phạm mạng trở thành một trong những phương thức quan trọng nhất để nước này kiếm ngoại tệ. Khác với buôn lậu vũ khí hay ma túy truyền thống, tội phạm mạng có chi phí thấp, rủi ro tương đối nhỏ và lợi nhuận khổng lồ. Một đội hacker Triều Tiên được đào tạo bài bản chỉ cần máy tính và kết nối mạng là có thể đánh cắp hàng triệu USD từ bất cứ đâu trên thế giới.

Hoạt động công nghiệp hóa cấp quốc gia này cho thấy Triều Tiên đã xem tội phạm mạng như một nguồn lực chiến lược. Lazarus Group và Chollima không phải là những cá nhân tự phát mà là quân chính quy được đào tạo bởi nhà nước, nhận lương chính phủ và được giao nhiệm vụ rõ ràng. Hành động của họ được lên kế hoạch tỉ mỉ, từ lựa chọn mục tiêu, làm giả danh tính, kỹ thuật tấn công đến rửa tiền đều có sự phân công chuyên môn hóa.

Bốn đặc trưng của ngành công nghiệp tội phạm mạng Triều Tiên

Hệ thống đào tạo nhà nước: Tuyển chọn nhân tài hacker từ cấp hai, cung cấp huấn luyện kỹ thuật và ngôn ngữ chuyên nghiệp

Triển khai phân tán toàn cầu: Hacker Triều Tiên phân bố tại Trung Quốc, Đông Nam Á, Nga,… để giảm nguy cơ bị truy vết

Phân công tổ chức hóa: Các khâu xâm nhập, tấn công, rửa tiền do các nhóm chuyên biệt phụ trách, tăng hiệu quả

Quản lý theo nhiệm vụ: Mỗi nhóm có chỉ tiêu trộm cắp hàng năm rõ ràng, hoàn thành nhiệm vụ sẽ được thưởng

Tháng 2 năm 2025, một sàn giao dịch CEX lớn bị tấn công, chứng minh hiệu quả của phương thức tấn công “yếu tố con người” này. Trong vụ đó, hacker Triều Tiên bị quy trách nhiệm thuộc tổ chức TraderTraitor đã sử dụng thông tin xác thực nội bộ bị đánh cắp để ngụy trang chuyển khoản bên ngoài thành chuyển khoản tài sản nội bộ, cuối cùng kiểm soát hợp đồng thông minh ví lạnh. Sàn CEX này thiệt hại trên 1,4 tỷ USD, trở thành một trong những vụ trộm tiền điện tử lớn nhất lịch sử.

Vũ khí hóa công cụ AI: Chuyển đổi chết người từ năng suất sang tấn công

(Nguồn: BCA LTD)

Việc hacker Triều Tiên vũ khí hóa các công cụ AI năng suất là phát hiện đáng lo ngại nhất từ chiến dịch honeypot lần này. Họ sử dụng phần mềm tự động hóa xin việc hợp pháp, bao gồm Simplify Copilot và AiApply, để tạo ra câu trả lời phỏng vấn hoàn chỉnh và điền đơn ứng tuyển hàng loạt. Các công cụ này vốn được thiết kế để giúp ứng viên tăng hiệu quả, nay lại trở thành vũ khí giúp đặc vụ Triều Tiên vượt qua sàng lọc nhân sự.

Simplify Copilot có thể tự động tạo thư xin việc và CV phù hợp với mô tả công việc, AiApply mô phỏng trả lời các câu hỏi phỏng vấn kỹ thuật như con người. Hacker Triều Tiên kết hợp các công cụ này với danh tính kỹ sư Mỹ bị đánh cắp, tạo ra bộ hồ sơ xin việc gần như hoàn hảo không thể nghi ngờ. Bộ phận nhân sự nhìn thấy CV hoàn hảo, phỏng vấn trôi chảy, thông tin nền tảng xác thực, hoàn toàn không có lý do nghi ngờ.

Việc sử dụng công cụ năng suất phương Tây như vậy cho thấy một xu hướng nâng cấp đáng lo ngại: chủ thể quốc gia đang tận dụng công nghệ AI được thiết kế để đơn giản hóa quy trình tuyển dụng doanh nghiệp nhằm đánh bại chính các doanh nghiệp ấy. Điều này cũng hé lộ hai mặt của công nghệ AI: cùng một công cụ có thể tăng năng suất nhưng cũng có thể trở thành vũ khí tấn công. Doanh nghiệp khi áp dụng công cụ AI tuyển dụng cần cân nhắc nguy cơ bị lợi dụng ác ý.

Điều tra cho thấy hacker Triều Tiên chuyển hướng lưu lượng mạng để che giấu vị trí và sử dụng dịch vụ dựa trên trình duyệt để xử lý mã xác thực hai yếu tố liên quan đến danh tính bị đánh cắp. Sự kết hợp kỹ thuật này cho thấy họ hiểu sâu về các biện pháp bảo mật của doanh nghiệp phương Tây. Vượt qua kiểm tra vị trí địa lý, dịch vụ trình duyệt xử lý mã xác thực 2FA, danh tính bị đánh cắp cung cấp nền tảng hợp pháp – ba yếu tố này kết hợp thành hệ thống ngụy trang hoàn chỉnh.

Mục tiêu cuối cùng không phải phá hủy ngay mà là kiểm soát lâu dài. Đặc vụ thiết lập Google Remote Desktop với mã PIN cố định qua PowerShell, đảm bảo kiểm soát máy mục tiêu ngay cả khi chủ máy thu hồi quyền. Cơ chế backdoor này thể hiện sự kiên nhẫn, khả năng lên kế hoạch dài hạn của hacker Triều Tiên – họ sẵn sàng xây dựng lòng tin trong nhiều tháng chỉ để nắm quyền kiểm soát tuyệt đối vào thời điểm then chốt.

Honeypot ghi lại chuỗi tấn công hoàn chỉnh và chiến lược ứng phó

(Nguồn: NorthScan)

Các nhà nghiên cứu an ninh đã dụ đặc vụ Triều Tiên vào một “laptop lập trình viên” có gài bẫy, ghi hình trực tiếp hành động của họ. BCA LTD, NorthScan và nền tảng phân tích malware ANY.RUN đã kịp thời ghi lại sự tiến hóa của tội phạm mạng do nhà nước bảo trợ. Chiến dịch honeypot này đem lại góc nhìn chưa từng có về chuỗi tấn công hoàn chỉnh của hacker Triều Tiên.

Chiến dịch bắt đầu khi nhà nghiên cứu tạo hồ sơ lập trình viên và nhận lời mời phỏng vấn từ một nhà tuyển dụng bí danh “Aaron”. Nhà tuyển dụng này không triển khai malware tiêu chuẩn mà dẫn dắt mục tiêu chấp nhận mô hình làm việc từ xa phổ biến trong lĩnh vực Web3. Khi quyền truy cập laptop được cấp, đặc vụ Triều Tiên không cố khai thác lỗ hổng mã nguồn mà tập trung xây dựng hình tượng một nhân viên mẫu mực.

Đoạn phim này cho ngành công nghiệp thấy rõ nhất cách các đội quân Triều Tiên, đặc biệt là Chollima lừng danh, vượt qua tường lửa truyền thống bằng cách được phòng nhân sự nước mục tiêu trực tiếp tuyển dụng. Chollima là đơn vị tác chiến mạng tinh nhuệ của Triều Tiên, lấy tên từ thần thoại Triều Tiên, tượng trưng cho tốc độ và hiệu quả. Đơn vị này chuyên thực hiện xâm nhập vào tổ chức tài chính và công ty tiền điện tử.

Bản chất, họ không tìm cách xâm nhập ví ngay mà xây dựng lòng tin, trở thành người nội bộ đáng tin cậy để có quyền truy cập kho lưu trữ nội bộ và dashboard cloud. Họ chạy chương trình chẩn đoán hệ thống để kiểm tra phần cứng, xử lý nhiệm vụ phát triển bình thường, tham gia họp nhóm, hoàn toàn thể hiện như một nhân viên từ xa tận tụy. Sự kiên nhẫn, khả năng ngụy trang này là điều đáng sợ nhất vì khiến doanh nghiệp gần như không thể phát hiện mối đe dọa ở giai đoạn đầu.

Sáu giai đoạn của chuỗi tấn công hacker Triều Tiên

Chuẩn bị danh tính: Đánh cắp hoặc mua giấy tờ tùy thân và tài khoản LinkedIn của kỹ sư Mỹ thật

AI hỗ trợ xin việc: Dùng Simplify Copilot và AiApply tạo hồ sơ và câu trả lời phỏng vấn hoàn hảo

Vượt qua phỏng vấn: Thể hiện kỹ năng kỹ thuật thực sự và giao tiếp tiếng Anh lưu loát

Xây dựng lòng tin: Ban đầu làm việc tích cực, chuyên nghiệp, hoàn thành nhiệm vụ được giao

Cài đặt backdoor: Thiết lập Google Remote Desktop cùng các cơ chế kiểm soát bền vững

Chờ thời cơ: Ẩn mình kiên nhẫn cho đến khi có quyền truy cập hệ thống hoặc ví quan trọng

Từ KYC đến KYE: Thay đổi căn bản mô hình phòng thủ doanh nghiệp

Sự trỗi dậy của kỹ nghệ xã hội đã mang đến khủng hoảng trách nhiệm nặng nề cho ngành tài sản số. Đầu năm nay, các công ty an ninh như Huntress và Silent Push đã ghi nhận nhiều mạng lưới công ty ma, bao gồm BlockNovas và SoftGlide, có đăng ký doanh nghiệp Mỹ hợp lệ và hồ sơ LinkedIn đáng tin cậy. Các thực thể này giả danh đánh giá kỹ thuật, thành công dụ lập trình viên cài mã độc.

Đối với cán bộ tuân thủ và CISO, thách thức đã thay đổi. Quy trình “biết khách hàng của bạn” (KYC) truyền thống tập trung vào khách hàng, nhưng quy trình làm việc của Lazarus đòi hỏi tiêu chuẩn “biết nhân viên của bạn” (KYE) nghiêm ngặt. Sự chuyển đổi mô hình này buộc doanh nghiệp phải nghĩ lại toàn bộ quy trình tuyển dụng và quản lý nhân viên.

Bộ Tư pháp đã bắt đầu trấn áp các hoạt động lừa đảo IT này, thu giữ 7,74 triệu USD liên quan, nhưng khả năng phát hiện vẫn còn rất hạn chế. 7,74 triệu USD so với tổng số 2,83 tỷ USD chỉ là phần nổi của tảng băng chìm, cho thấy hiệu quả thực thi pháp luật còn thấp. Mạng lưới hacker Triều Tiên phân tán ở nhiều quốc gia, tận dụng tính ẩn danh và xuyên biên giới của tiền mã hóa, khiến việc truy vết và truy tố cực kỳ khó khăn.

Như chiến dịch honeypot của BCA LTD chứng minh, cách duy nhất để bắt tội phạm này có thể là chuyển từ phòng thủ bị động sang chủ động lừa đối thủ, tạo môi trường kiểm soát buộc tác nhân đe dọa phải phơi bày kỹ năng trước khi kiểm soát được tiền. Chiến lược phòng thủ chủ động này là bước ngoặt lớn trong tư duy an ninh mạng, từ xây tường phòng thủ sang cài bẫy dụ bắt.

Năm biện pháp then chốt trong quy trình KYE cho doanh nghiệp tiền mã hóa

Phỏng vấn video nhiều vòng: Yêu cầu bật camera, quan sát tiểu tiết biểu cảm và môi trường ứng viên

Xác thực kỹ năng kỹ thuật trực tiếp: Test code trực tiếp thay vì chỉ xem portfolio quá khứ

Điều tra nền tảng sâu: Liên hệ với chủ cũ, xác minh bằng cấp, kiểm tra lịch sử mạng xã hội

Cấp quyền truy cập tăng dần: Nhân viên mới chỉ được truy cập hệ thống không nhạy cảm, nâng quyền từng bước

Giám sát hành vi bất thường: Phát hiện công cụ che giấu vị trí, giờ làm việc lạ, cài đặt phần mềm đáng nghi

Thành công của chiến lược honeypot cho thấy, đối mặt với mối đe dọa mạng cấp quốc gia, phòng thủ bị động truyền thống là chưa đủ. Doanh nghiệp cần chủ động cài hệ thống mồi nhử để thu hút và nhận diện mối nguy tiềm ẩn. Khi hacker Triều Tiên tưởng mình đã xâm nhập thành công, thực chất họ đang phơi bày công cụ, kỹ thuật và quy trình (TTPs), cung cấp thông tin tình báo quý giá cho cộng đồng an ninh.

Ở góc độ vĩ mô, sự kiện này nhấn mạnh thách thức an ninh mới thời đại làm việc từ xa. Khi các thành viên đội nhóm phân tán toàn cầu, chưa từng gặp mặt, đảm bảo xác thực danh tính từng người trở thành vấn đề then chốt. Ngành tiền mã hóa với giá trị tài sản lớn và văn hóa làm việc từ xa phổ biến, là mục tiêu hàng đầu của hacker Triều Tiên. Doanh nghiệp phải vừa giữ sự linh hoạt làm việc từ xa vừa xây dựng cơ chế xác thực, giám sát nhân viên nghiêm ngặt hơn.