Bitcoin 
Ethereum 
Tether 
BNB 
XRP 
USDC 
Solana 
TRON 
Lido Staked Ether 
Dogecoin 
Figure Heloc 
Cardano 
Wrapped stETH 
Bitcoin Cash 
WhiteBIT Coin 
Wrapped Bitcoin 
Wrapped Beacon ETH 
USDS 
Binance Bridged USDT (BNB Smart Chain) 
Tìm kiếm
Các nhóm hacker Triều Tiên đang ngày càng tinh vi hơn khi lợi dụng nhu cầu làm việc từ xa trong lĩnh vực IT để lừa đảo, xâm nhập hệ thống đám mây và đánh cắp tiền điện tử trị giá hàng triệu USD — theo hai báo cáo độc lập từ Google Cloud và công ty an ninh mạng Wiz.
Theo báo cáo Cloud Threat Horizons nửa cuối năm 2025 của Google Cloud, nhóm Tình báo Mối đe dọa của Google (GTIG) đang theo dõi sát sao UNC4899 — một nhóm hacker Triều Tiên từng thành công xâm nhập vào hai công ty sau khi tiếp cận nhân viên của họ qua mạng xã hội.
Trong cả hai trường hợp, UNC4899 đã giao cho nhân viên một số “bài test công việc”, khiến họ vô tình chạy phần mềm độc hại trên máy tính, tạo điều kiện để nhóm này thiết lập kết nối giữa trung tâm điều khiển và hệ thống đám mây của công ty mục tiêu.
Qua đó, UNC4899 có thể thâm nhập sâu vào môi trường đám mây của nạn nhân, chiếm đoạt dữ liệu đăng nhập và truy vết các máy chủ đang xử lý giao dịch tiền điện tử. Mặc dù các vụ tấn công nhắm vào hai công ty và nền tảng đám mây khác nhau (Google Cloud và AWS), hậu quả đều giống nhau: bị đánh cắp lượng crypto trị giá nhiều triệu USD.
Jamie Collier, Cố vấn Tình báo Mối đe dọa Khu vực châu Âu tại Google, cho biết: “Chiêu dụ việc làm của các nhóm hacker Triều Tiên giờ đã trở nên phổ biến và tinh vi. Họ thường giả làm nhà tuyển dụng, nhà báo, chuyên gia trong ngành hoặc giáo sư đại học để tiếp cận mục tiêu. Các cuộc trao đổi thường kéo dài qua nhiều lượt để tạo lòng tin.”
Triển khai nhanh – Ứng dụng AI
Collier cũng nhấn mạnh rằng hacker Triều Tiên nằm trong số những nhóm đầu tiên áp dụng công nghệ AI để tạo các email giao tiếp thuyết phục hơn và viết mã độc tinh vi hơn.
Wiz, một công ty chuyên về bảo mật đám mây, cũng phát hiện hoạt động của UNC4899 — nhóm còn được biết đến với các tên gọi TraderTraitor, Jade Sleet và Slow Pisces.
Theo Wiz, TraderTraitor không chỉ là một nhóm đơn lẻ mà là tên gọi chung cho chuỗi hoạt động tấn công mạng do nhiều nhóm thân Triều Tiên thực hiện như Lazarus Group, APT38, BlueNoroff và Stardust Chollima.
Wiz cho biết chiến dịch của UNC4899 bắt đầu từ năm 2020, tận dụng các “ứng dụng crypto giả mạo” viết bằng JavaScript và Node.js trên nền Electron, nhằm dụ nhân viên tải và chạy mã độc.
Trong giai đoạn 2020–2022, nhóm này đã thành công xâm nhập nhiều tổ chức, trong đó có vụ hack lừng danh vào Ronin Network của Axie Infinity trị giá 620 triệu USD do nhóm Lazarus thực hiện.
Sang năm 2023, chiến thuật của TraderTraitor chuyển sang sử dụng mã nguồn mở chứa mã độc. Đến năm 2024, nhóm tăng cường các chiêu lừa tuyển dụng, nhắm trực tiếp vào các sàn giao dịch crypto.
Hai vụ tấn công nghiêm trọng nhất do TraderTraitor gây ra là: vụ hack 305 triệu USD tại sàn DMM Bitcoin của Nhật Bản và vụ hack 1,5 tỷ USD vào Bybit cuối năm 2024 — được sàn công bố vào tháng 2 năm nay.
Đích ngắm: Hệ thống đám mây
Cả hai báo cáo từ Google và Wiz đều cho thấy các vụ tấn công này đều nhắm vào cơ sở hạ tầng đám mây. Benjamin Read, Giám đốc Tình báo Chiến lược tại Wiz, nhận định: “Hệ thống đám mây là nơi lưu trữ dữ liệu — và do đó là nơi có tiền. Đặc biệt trong lĩnh vực crypto, các công ty thường xây dựng hệ thống theo hướng ưu tiên đám mây ngay từ đầu.”
Ông cho biết việc tấn công đám mây giúp hacker mở rộng quy mô ảnh hưởng và tối đa hóa lợi nhuận. Theo ước tính, trong năm 2025 đến nay, các nhóm này đã đánh cắp khoảng 1,6 tỷ USD tiền điện tử.
Read cũng tiết lộ lực lượng của các nhóm như TraderTraitor có thể lên tới hàng ngàn người, hoạt động trong nhiều nhóm khác nhau với mức độ chồng chéo nhất định. “Dù rất khó để có con số chính xác, nhưng rõ ràng chính quyền Triều Tiên đang đầu tư rất lớn vào năng lực tấn công mạng.”
Báo cáo từ TRM Labs hồi tháng 2 cũng khẳng định Triều Tiên đứng sau 35% tổng số tiền điện tử bị đánh cắp toàn cầu trong năm 2024.
Các chuyên gia cảnh báo rằng Triều Tiên sẽ còn tiếp tục đóng vai trò lớn trong các hoạt động hack liên quan đến tiền điện tử nhờ khả năng thích nghi nhanh và không ngừng nâng cấp chiến thuật.
“Các nhóm hacker Triều Tiên là một lực lượng linh hoạt và nhanh nhạy, luôn điều chỉnh để đáp ứng mục tiêu chiến lược và tài chính của chế độ,” ông Collier của Google kết luận.
Ông nhấn mạnh việc tận dụng AI đang giúp các nhóm hacker nhân rộng hoạt động và mở rộng quy mô tấn công. “Chúng tôi chưa thấy dấu hiệu nào cho thấy họ sẽ dừng lại, và nhiều khả năng các hoạt động này sẽ còn gia tăng.”
- Mỹ truy tố nhóm hacker Triều Tiên đánh cắp tiền điện tử
- Nhóm hacker Lazarus của Triều Tiên tiếp tục ra tay với vụ lừa đảo 3,2 triệu USD
Vương Tiễn
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
-
X (Twitter):
@coinphoton_vi
-
Discord:
@coinphoton_vn
- Thẻ đính kèm:
- Bybit
Bybit là một trong những sàn giao dịch tiền mã hóa hàng đầu thế giới, được thành lập vào năm 2018 và có trụ sở chính tại Dubai, Các Tiểu vương quốc Ả Rập Thống nhất. Được biết đến với khối lượng giao dịch cao, Bybit cung cấp một loạt… …
