Bên trong chiến dịch đánh cắp 2,02 tỷ USD tiền mã hóa của hacker Triều Tiên năm 2025

Cơ quan chức năng Mỹ xác định vụ việc có liên quan đến các tác nhân Triều Tiên được theo dõi dưới tên "TraderTraitor".

Phân tích tình báo cho thấy vụ tấn công liên quan đến một cuộc xâm nhập chuỗi cung ứng phần mềm. Nhóm tấn công đã phát tán phần mềm bị cài mã độc thông qua một quy trình phát triển bị xâm phạm. Theo nghiên cứu của CrowdStrike, một cụm hacker được theo dõi với tên PRESSURE CHOLLIMA đã triển khai phần mềm trojan thông qua chuỗi cung ứng này để chiếm quyền truy cập đáng tin cậy vào hệ sinh thái của sàn.

Sau khi xâm nhập thành công, tin tặc nhanh chóng chuyển lượng lớn tiền mã hóa ra khỏi hệ thống và phân tán tài sản qua hàng nghìn địa chỉ blockchain nhằm làm rối dấu vết giao dịch.

Ít vụ tấn công hơn nhưng thiệt hại lớn hơn

Dữ liệu phân tích blockchain cho thấy tổng số 2,02 tỷ USD bị đánh cắp trong năm 2025 tăng khoảng 51% so với năm trước, dù số vụ tấn công thực tế giảm.

Điều này phản ánh sự thay đổi chiến lược: thay vì nhiều vụ hack nhỏ, các nhóm này ngày càng tập trung vào các mục tiêu lớn như sàn giao dịch crypto hoặc hạ tầng tài chính.

Các nhà nghiên cứu mô tả mô hình này là tội phạm mạng “công nghiệp hóa”, nơi hoạt động tấn công, đánh cắp và rửa tiền được tổ chức thành các chuỗi vận hành chuyên biệt.

Những chiến thuật chính đứng sau làn sóng tấn công

Tấn công chuỗi cung ứng

Vụ Bybit cho thấy tin tặc ngày càng khai thác mối quan hệ tin cậy trong hệ sinh thái phần mềm.

Thay vì tấn công trực tiếp vào sàn giao dịch, hacker xâm nhập vào công cụ phát triển hoặc phụ thuộc phần mềm, sau đó phát tán bản cập nhật chứa mã độc mà nạn nhân tự cài đặt. Điều này giúp chúng có quyền truy cập đặc quyền mà không dễ bị hệ thống bảo mật phát hiện.

Lừa đảo xã hội có hỗ trợ AI

Các báo cáo tình báo cho thấy tin tặc ngày càng tận dụng công cụ AI để tăng hiệu quả lừa đảo.

AI có thể hỗ trợ:

• tạo email phishing thuyết phục hơn
• nghiên cứu mục tiêu nhanh chóng
• tạo danh tính hoặc nhân vật giả đáng tin

Nhờ vậy, hacker dễ dàng đánh cắp thông tin đăng nhập hoặc thuyết phục nhân viên cấp quyền truy cập vào hệ thống.

Nhân viên IT làm việc từ xa giả mạo

Một chiến thuật đáng chú ý khác là đưa người của họ vào doanh nghiệp thông qua các công việc IT từ xa.

Các cơ quan chức năng cho biết Triều Tiên đã xây dựng mạng lưới cá nhân sử dụng danh tính bị đánh cắp hoặc giả mạo để xin việc lập trình viên hoặc kỹ sư IT tại các công ty công nghệ, bao gồm cả doanh nghiệp liên quan đến crypto.

Sau khi được tuyển dụng, những cá nhân này có thể:

• truy cập hợp pháp vào hệ thống nội bộ
• thu thập thông tin đăng nhập và dữ liệu nhạy cảm
• hỗ trợ các hoạt động đánh cắp hoặc rửa tiền

Quy mô chiến dịch rất lớn. Một số công ty công nghệ cho biết họ đã phải chặn hàng nghìn hồ sơ IT giả mạo liên quan đến mạng lưới này.

Kết hợp xâm nhập kỹ thuật và “thâm nhập con người”

Các nhà nghiên cứu bảo mật cho rằng nhiều chiến dịch hiện nay không chỉ dựa vào kỹ thuật hacking mà còn kết hợp xâm nhập thông qua con người—nhân viên, đối tác hoặc nhà thầu.

Sự kết hợp giữa kỹ thuật số và quan hệ con người giúp hacker vượt qua nhiều lớp phòng thủ truyền thống.

Vai trò của các nhóm hacker chuyên biệt

Các công ty an ninh mạng thường theo dõi hoạt động Triều Tiên thông qua các cụm hacker thay vì một tổ chức duy nhất.

Ví dụ:

• PRESSURE CHOLLIMA – được CrowdStrike liên kết với vụ tấn công chuỗi cung ứng dẫn đến vụ hack Bybit trị giá 1,46 tỷ USD.
• Các cụm liên quan DPRK khác – thường gắn với hệ sinh thái Lazarus, thực hiện gián điệp mạng, đánh cắp tài chính và xâm nhập hạ tầng fintech.

Một số cụm khác như FAMOUS CHOLLIMA hay STARDUST CHOLLIMA được theo dõi trong bối cảnh hoạt động mạng của Triều Tiên, dù thông tin công khai về vai trò cụ thể trong các vụ năm 2025 còn hạn chế.

Cách rửa tiền sau các vụ hack

Sau khi chiếm đoạt tiền mã hóa, hacker thường chia nhỏ tài sản qua hàng nghìn địa chỉ và nhiều loại tiền mã hóa khác nhau.

Các cuộc điều tra cho thấy họ còn sử dụng:

• dịch vụ trộn (mixing services)
• sàn giao dịch phi tập trung (DEX)
• cầu nối cross‑chain

Những kỹ thuật này khiến việc lần theo dòng tiền trở nên khó khăn hơn nhiều.

Trong một số trường hợp, phần lớn số tiền bị đánh cắp có thể được rửa chỉ trong vài tuần sau vụ tấn công ban đầu.

Vì sao đây là vấn đề an ninh quốc gia

Theo các quan chức Mỹ và quốc tế, những chiến dịch này không chỉ là tội phạm mạng thông thường mà còn là nguồn tài chính cho nhà nước Triều Tiên.

Các tuyên bố của chính phủ cho rằng tiền thu được từ hoạt động mạng giúp nước này né tránh các lệnh trừng phạt quốc tế và hỗ trợ chương trình phát triển vũ khí, bao gồm tên lửa đạn đạo và năng lực hạt nhân.

Vì lý do đó, nhiều cơ quan thực thi pháp luật đang tăng cường theo dõi các mạng lưới rửa tiền và hạ tầng hỗ trợ các chiến dịch tấn công này.

Ý nghĩa đối với an ninh của ngành crypto

Kỷ lục năm 2025 cho thấy một sự thay đổi lớn trong bối cảnh an ninh mạng:

• Các tác nhân quốc gia bắt đầu coi nền tảng tiền mã hóa như hạ tầng tài chính chiến lược.
• Các chiến dịch tấn công kết hợp xâm nhập kỹ thuật với lừa đảo và cài người vào tổ chức.
• Một vụ hack đơn lẻ có thể gây thiệt hại hàng tỷ USD.

Các chuyên gia cho rằng ngành crypto sẽ cần đầu tư mạnh hơn vào bảo mật chuỗi cung ứng phần mềm, xác minh danh tính nhân sự từ xa và giám sát giao dịch blockchain để đối phó với các chiến dịch ngày càng tinh vi này.