Các nhóm hacker liên quan Triều Tiên bị cho là đã đánh cắp khoảng 2,02 tỷ USD tiền mã hóa trong năm 2025, phần lớn đến từ vụ hack sàn Bybit trị giá khoảng 1,46 tỷ USD. Các nhà nghiên cứu an ninh cho rằng chiến dịch này mang tính “công nghiệp hóa”: ít vụ tấn công hơn nhưng giá trị mỗi vụ lớn hơn, sử dụng tấn công chu...

Create a landscape editorial hero image for this Studio Global article: How did North Korean cyber operatives steal a record $2.02 billion in cryptocurrency in 2025, including the $1.46 billion Bybit hack, what t. Article summary: The FBI publicly attributed the Bybit hack to North Korea and said the theft involved approximately $1.5 billion in virtual assets from cryptocurrency exchange Bybit on or about February 21, 2025.. Topic tags: general, government, news, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# North Korean hackers stole a record $2 billion of crypto in 2025, Chainalysis says. ## North Korea-linked hackers drove a record year for crypto thefts, favoring rare but massive" source context "North Korea stole $2 billion in crypto in 2025, Chainalysis says" Reference image 2: visual subject "# North Korean hacker
Năm 2025 đánh dấu một cột mốc đáng chú ý trong lịch sử tội phạm mạng: các nhóm hacker liên quan nhà nước Triều Tiên bị cáo buộc đánh cắp khoảng 2,02 tỷ USD tiền mã hóa, mức cao nhất từng ghi nhận đối với một quốc gia trong một năm.
Phần lớn con số này đến từ vụ tấn công sàn giao dịch tiền mã hóa Bybit vào tháng 2/2025, nơi khoảng 1,46 tỷ USD tài sản số bị đánh cắp, trở thành vụ trộm tiền mã hóa lớn nhất lịch sử.
Các cuộc điều tra của FBI cùng các công ty phân tích blockchain và tình báo an ninh mạng cho thấy đây không phải những vụ tấn công đơn lẻ. Thay vào đó, chúng là một chiến dịch phối hợp quy mô lớn, kết hợp nhiều kỹ thuật: tấn công chuỗi cung ứng, lừa đảo xã hội, AI hỗ trợ lừa đảo, cài người vào doanh nghiệp và mạng lưới rửa tiền phức tạp.
Ngày 21/02/2025, sàn giao dịch tiền mã hóa Bybit có trụ sở tại Dubai bị tấn công, dẫn đến việc thất thoát khoảng 1,46 tỷ USD tài sản kỹ thuật số.
Cơ quan chức năng Mỹ xác định vụ việc có liên quan đến các tác nhân Triều Tiên được theo dõi dưới tên "TraderTraitor".
Phân tích tình báo cho thấy vụ tấn công liên quan đến một cuộc xâm nhập chuỗi cung ứng phần mềm. Nhóm tấn công đã phát tán phần mềm bị cài mã độc thông qua một quy trình phát triển bị xâm phạm. Theo nghiên cứu của CrowdStrike, một cụm hacker được theo dõi với tên PRESSURE CHOLLIMA đã triển khai phần mềm trojan thông qua chuỗi cung ứng này để chiếm quyền truy cập đáng tin cậy vào hệ sinh thái của sàn.
Sau khi xâm nhập thành công, tin tặc nhanh chóng chuyển lượng lớn tiền mã hóa ra khỏi hệ thống và phân tán tài sản qua hàng nghìn địa chỉ blockchain nhằm làm rối dấu vết giao dịch.
Dữ liệu phân tích blockchain cho thấy tổng số 2,02 tỷ USD bị đánh cắp trong năm 2025 tăng khoảng 51% so với năm trước, dù số vụ tấn công thực tế giảm.
Điều này phản ánh sự thay đổi chiến lược: thay vì nhiều vụ hack nhỏ, các nhóm này ngày càng tập trung vào các mục tiêu lớn như sàn giao dịch crypto hoặc hạ tầng tài chính.
Các nhà nghiên cứu mô tả mô hình này là tội phạm mạng “công nghiệp hóa”, nơi hoạt động tấn công, đánh cắp và rửa tiền được tổ chức thành các chuỗi vận hành chuyên biệt.
Vụ Bybit cho thấy tin tặc ngày càng khai thác mối quan hệ tin cậy trong hệ sinh thái phần mềm.
Thay vì tấn công trực tiếp vào sàn giao dịch, hacker xâm nhập vào công cụ phát triển hoặc phụ thuộc phần mềm, sau đó phát tán bản cập nhật chứa mã độc mà nạn nhân tự cài đặt. Điều này giúp chúng có quyền truy cập đặc quyền mà không dễ bị hệ thống bảo mật phát hiện.
Các báo cáo tình báo cho thấy tin tặc ngày càng tận dụng công cụ AI để tăng hiệu quả lừa đảo.
AI có thể hỗ trợ:
Nhờ vậy, hacker dễ dàng đánh cắp thông tin đăng nhập hoặc thuyết phục nhân viên cấp quyền truy cập vào hệ thống.
Một chiến thuật đáng chú ý khác là đưa người của họ vào doanh nghiệp thông qua các công việc IT từ xa.
Các cơ quan chức năng cho biết Triều Tiên đã xây dựng mạng lưới cá nhân sử dụng danh tính bị đánh cắp hoặc giả mạo để xin việc lập trình viên hoặc kỹ sư IT tại các công ty công nghệ, bao gồm cả doanh nghiệp liên quan đến crypto.
Sau khi được tuyển dụng, những cá nhân này có thể:
Quy mô chiến dịch rất lớn. Một số công ty công nghệ cho biết họ đã phải chặn hàng nghìn hồ sơ IT giả mạo liên quan đến mạng lưới này.
Các nhà nghiên cứu bảo mật cho rằng nhiều chiến dịch hiện nay không chỉ dựa vào kỹ thuật hacking mà còn kết hợp xâm nhập thông qua con người—nhân viên, đối tác hoặc nhà thầu.
Sự kết hợp giữa kỹ thuật số và quan hệ con người giúp hacker vượt qua nhiều lớp phòng thủ truyền thống.
Các công ty an ninh mạng thường theo dõi hoạt động Triều Tiên thông qua các cụm hacker thay vì một tổ chức duy nhất.
Ví dụ:
Một số cụm khác như FAMOUS CHOLLIMA hay STARDUST CHOLLIMA được theo dõi trong bối cảnh hoạt động mạng của Triều Tiên, dù thông tin công khai về vai trò cụ thể trong các vụ năm 2025 còn hạn chế.
Sau khi chiếm đoạt tiền mã hóa, hacker thường chia nhỏ tài sản qua hàng nghìn địa chỉ và nhiều loại tiền mã hóa khác nhau.
Các cuộc điều tra cho thấy họ còn sử dụng:
Những kỹ thuật này khiến việc lần theo dòng tiền trở nên khó khăn hơn nhiều.
Trong một số trường hợp, phần lớn số tiền bị đánh cắp có thể được rửa chỉ trong vài tuần sau vụ tấn công ban đầu.
Theo các quan chức Mỹ và quốc tế, những chiến dịch này không chỉ là tội phạm mạng thông thường mà còn là nguồn tài chính cho nhà nước Triều Tiên.
Các tuyên bố của chính phủ cho rằng tiền thu được từ hoạt động mạng giúp nước này né tránh các lệnh trừng phạt quốc tế và hỗ trợ chương trình phát triển vũ khí, bao gồm tên lửa đạn đạo và năng lực hạt nhân.
Vì lý do đó, nhiều cơ quan thực thi pháp luật đang tăng cường theo dõi các mạng lưới rửa tiền và hạ tầng hỗ trợ các chiến dịch tấn công này.
Kỷ lục năm 2025 cho thấy một sự thay đổi lớn trong bối cảnh an ninh mạng:
Các chuyên gia cho rằng ngành crypto sẽ cần đầu tư mạnh hơn vào bảo mật chuỗi cung ứng phần mềm, xác minh danh tính nhân sự từ xa và giám sát giao dịch blockchain để đối phó với các chiến dịch ngày càng tinh vi này.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Các nhóm hacker liên quan Triều Tiên bị cho là đã đánh cắp khoảng 2,02 tỷ USD tiền mã hóa trong năm 2025, phần lớn đến từ vụ hack sàn Bybit trị giá khoảng 1,46 tỷ USD.
Các nhóm hacker liên quan Triều Tiên bị cho là đã đánh cắp khoảng 2,02 tỷ USD tiền mã hóa trong năm 2025, phần lớn đến từ vụ hack sàn Bybit trị giá khoảng 1,46 tỷ USD. Các nhà nghiên cứu an ninh cho rằng chiến dịch này mang tính “công nghiệp hóa”: ít vụ tấn công hơn nhưng giá trị mỗi vụ lớn hơn, sử dụng tấn công chuỗi cung ứng, AI hỗ trợ lừa đảo và xâm nhập nội bộ.
Chính phủ Mỹ và các cơ quan quốc tế cảnh báo nguồn tiền từ các vụ hack tiền mã hóa có thể được dùng để né tránh trừng phạt và tài trợ cho các chương trình vũ khí của Triều Tiên.