Hacker Triều Tiên bị bắt quả tang khi giả danh ứng viên crypto tại Mỹ

Các đặc vụ Triều Tiên đã bị bắt quả tang trực tiếp sau khi nhóm nghiên cứu an ninh dẫn dụ họ vào một “laptop dành cho lập trình viên” gài bẫy, cho thấy cách nhóm liên quan nhóm hacker khét tiếng Lazarus tìm cách chen vào quy trình tuyển dụng crypto tại Mỹ bằng công cụ AI hợp pháp và dịch vụ cloud.

Diễn biến này được ghi nhận theo thời gian thực bởi các nhóm nghiên cứu của BCA LTD, NorthScan và nền tảng phân tích malware ANY.RUN.

Bắt quả tang hacker Triều Tiên

Chiến dịch bắt đầu khi Heiner García của NorthScan giả mạo một lập trình viên Mỹ — người bị một recruiter của Lazarus nhắm tới dưới bí danh “Aaron” (hay còn gọi là “Blaze”).

Đóng vai một “doanh nghiệp” tuyển dụng, Blaze cố gắng thuê lập trình viên giả này làm bình phong — một chiến thuật Chollima quen thuộc nhằm đưa lao động IT Triều Tiên vào các công ty phương Tây, đặc biệt trong lĩnh vực tài chính, crypto, y tế và kỹ thuật.

Quy trình phỏng vấn

Kế hoạch vận hành theo mô hình quen thuộc:

• đánh cắp hoặc mượn danh tính,

• vượt qua phỏng vấn bằng công cụ AI và bộ câu trả lời chia sẻ,

• làm việc từ xa qua laptop của nạn nhân,

• chuyển lương về Triều Tiên.

Khi Blaze yêu cầu toàn quyền truy cập — gồm SSN, giấy tờ ID, LinkedIn, Gmail và quyền sử dụng laptop 24/7 — nhóm nghiên cứu chuyển sang giai đoạn hai.

Cái bẫy: “Laptop Farm” nhưng thực ra không có laptop

Môi trường ảo an toàn từ Interactive Sandbox của ANY.RUN

Thay vì dùng laptop thật, Mauro Eldritch của BCA LTD triển khai máy ảo trong ANY.RUN Sandbox, được cấu hình giống hệt một máy cá nhân hoạt động thực tế với lịch sử sử dụng, công cụ lập trình và proxy dân cư tại Mỹ.

Đội nghiên cứu cũng có thể chủ động tạo crash, giới hạn băng thông hoặc ghi lại từng thao tác mà không làm hacker nghi ngờ.

Những gì họ tìm thấy trong bộ công cụ của Famous Chollima

Các phiên sandbox hé lộ một bộ công cụ gọn nhẹ nhưng hiệu quả, tập trung vào chiếm đoạt danh tính và truy cập từ xa thay vì triển khai malware. Sau khi đồng bộ hồ sơ Chrome, các hacker tải lên:

• Công cụ tự động hóa xin việc chạy bằng AI (Simplify Copilot, AiApply, Final Round AI) để tự điền hồ sơ và tạo câu trả lời phỏng vấn.

• Công cụ OTP chạy trên trình duyệt (OTP.ee / Authenticator.cc) để xử lý mã 2FA của nạn nhân sau khi thu thập giấy tờ danh tính.

• Google Remote Desktop được cấu hình qua PowerShell với mã PIN cố định để duy trì quyền truy cập lâu dài.

• Các lệnh thăm dò hệ thống (dxdiag, systeminfo, whoami) nhằm xác minh phần cứng và môi trường.

• Kết nối liên tục định tuyến qua Astrill VPN — dấu hiệu quen thuộc trong hạ tầng của Lazarus.

Trong một phiên, hacker thậm chí để lại tin nhắn trong Notepad yêu cầu “lập trình viên” tải lên ID, SSN và thông tin ngân hàng — xác nhận mục tiêu cuối cùng: chiếm trọn danh tính và thiết bị làm việc mà không cần triển khai bất kỳ malware nào.

Dòng tiền tỷ USD

Sự việc này nằm trong chiến lược lớn hơn của Bình Nhưỡng, nơi mô hình lừa đảo tuyển dụng trở thành nguồn thu chính.

Nhóm Giám sát Trừng phạt Đa phương ước tính các nhóm liên quan Triều Tiên đã đánh cắp 2,83 tỷ USD tài sản số từ 2024 đến tháng 9/2025, tương đương gần 1/3 nguồn thu ngoại tệ của quốc gia.

Hiệu quả của việc tấn công vào “lớp con người” được thể hiện rõ nhất trong vụ hack Bybit tháng 2/2025, khi nhóm TraderTraitor dùng thông tin nội bộ bị đánh cắp để biến giao dịch chuyển ra ngoài thành chuyển nội bộ, cuối cùng chiếm quyền ví lạnh.

Khủng hoảng tuân thủ

Mô hình tấn công dựa vào social engineering đã tạo ra cuộc khủng hoảng tuân thủ mới trong ngành tài sản số.

Huntress và Silent Push từng ghi nhận mạng lưới công ty bình phong như BlockNovas và SoftGlide — có đăng ký hợp pháp tại Mỹ và hồ sơ LinkedIn đáng tin — chuyên dụ lập trình viên cài mã độc dưới dạng “bài test kỹ thuật”.

Trong khi quy trình KYC tập trung vào khách hàng, mô hình của Lazarus buộc ngành áp dụng tiêu chuẩn mới: “Know Your Employee”.

Bộ Tư pháp Mỹ đã thu giữ 7,74 triệu USD liên quan các sơ đồ IT này, nhưng độ trễ phát hiện vẫn lớn.

Như chiến dịch của BCA LTD cho thấy, để bắt những hacker này, ngành có thể phải chuyển từ phòng thủ thụ động sang đánh lừa chủ động — thiết kế môi trường kiểm soát buộc họ bộc lộ kỹ thuật trước khi được trao quyền truy cập hệ thống.

• Hacker Triều Tiên tấn công ứng viên crypto bằng malware BeaverTail
• Hacker Triều Tiên biến thư viện phần mềm thành công cụ phát tán mã độc
• Hacker Triều Tiên đánh cắp 2,83 tỷ USD crypto trong chưa đầy hai năm: Báo cáo

Thạch Sanh