Nhóm IT Triều Tiên kiếm 3,5 triệu USD từ lừa đảo và hack crypto

Một nhóm nhân viên IT Triều Tiên đã kiếm được hơn 3,5 triệu USD chỉ trong vài tháng bằng cách giả mạo danh tính để làm việc như các nhà phát triển, đồng thời cố gắng hack các dự án tiền mã hóa, theo các tài liệu thu được bởi một hacker đã xâm nhập vào một trong các thiết bị của họ.

Dữ liệu bị rò rỉ thu được bởi hacker không tên này đã được chia sẻ bởi thám tử blockchain ZachXBT trong một bài đăng trên X hôm thứ Tư. Nó tiết lộ rằng một trong những nhân viên IT, “Jerry”, và một nhóm 140 thành viên đang kiếm được khoảng 1 triệu USD mỗi tháng, tổng cộng lên tới 3,5 triệu USD tiền mã hóa kể từ cuối tháng 11.

Các nhân viên IT Triều Tiên đã phối hợp thanh toán trên một trang web có tên “luckyguys.site” bằng cách sử dụng mật khẩu chung, “123456”, ZachXBT cho biết, đồng thời nói thêm rằng một số người dùng trên nền tảng đó dường như làm việc cho Sobaeksu, Saenal và Songkwang, những tổ chức bị Văn phòng Kiểm soát Tài sản Nước ngoài Hoa Kỳ trừng phạt.

Các khoản thanh toán bằng tiền mã hóa này đã được chuyển đổi thành tiền fiat và gửi đến các tài khoản ngân hàng Trung Quốc thông qua các nền tảng thanh toán trực tuyến như Payoneer. Việc truy tìm các địa chỉ ví này cũng tiết lộ mối liên kết với các ví Triều Tiên đã biết khác bị Tether đưa vào danh sách đen vào tháng 12, ZachXBT cho biết.

Các tác nhân xấu từ Triều Tiên và các quốc gia khác tiếp tục đe dọa ngành công nghiệp tiền mã hóa với các chiến thuật ngày càng tinh vi để thực hiện các vụ hack và lừa đảo.

Các nhân viên được nhà nước Triều Tiên hậu thuẫn đã đánh cắp hơn 7 tỷ USD tiền kể từ năm 2009, với một phần lớn trong số đó đến từ các dự án tiền mã hóa. Vụ hack 1,4 tỷ USD vào sàn giao dịch tiền mã hóa Bybit và vụ hack cầu Ronin 625 triệu USD nằm trong số các cuộc tấn công đáng chú ý nhất của họ.

Các hacker Triều Tiên cũng bị đổ lỗi cho vụ hack 280 triệu USD vào Drift Protocol vào ngày 1 tháng 4.

Nhân viên IT Triều Tiên có bảng xếp hạng

Các nhân viên IT Triều Tiên có dữ liệu bị lộ đã có một bảng xếp hạng cho thấy mỗi nhân viên IT đã mang về bao nhiêu tiền mã hóa cho tổ chức kể từ ngày 8 tháng 12, với các liên kết đến các trang trình khám phá blockchain hiển thị chi tiết giao dịch.

Một bảng xếp hạng cho thấy các nhân viên IT Triều Tiên và số tiền mã hóa họ kiếm được.

Một ảnh chụp màn hình khác được ZachXBT chia sẻ cho thấy Jerry đã sử dụng mạng riêng ảo Astrill để truy cập Gmail, nơi anh ta đã gửi một số đơn đăng ký cho các vai trò nhà phát triển full-stack và kỹ sư phần mềm trên Indeed.

Trong một email chưa gửi, Jerry đã viết một lá thư cho vị trí chuyên gia nội dung WordPress và tối ưu hóa công cụ tìm kiếm tại một công ty áo phông ở Texas, yêu cầu mức lương 30 USD một giờ với thời gian làm việc từ 15 đến 20 giờ một tuần.

Ảnh chụp màn hình email chưa gửi của Jerry.

Các tài liệu nhận dạng cũng bị làm giả, với một trong những nhân viên IT, “Rascal”, chia sẻ hình ảnh của một hóa đơn thanh toán sử dụng tên giả và địa chỉ giả ở Hồng Kông.

Rascal cũng chia sẻ một bức ảnh hộ chiếu Ireland, mặc dù không rõ liệu nó có được sử dụng hay không.

Tuy nhiên, ZachXBT cho biết những nhân viên IT này kém tinh vi hơn so với các nhóm Triều Tiên khác như AppleJeus và TraderTraitor, những nhóm “hoạt động hiệu quả hơn nhiều và mang lại rủi ro lớn nhất cho ngành công nghiệp.”