Vụ trộm tiền điện tử trị giá 2.8 tỷ đô la của Triều Tiên tài trợ cho tham vọng quân sự

Triều Tiên dựa vào các nhóm hacker do nhà nước hậu thuẫn như Lazarus để tài trợ cho quân đội của mình, với lượng tiền mã hóa bị đánh cắp chiếm gần một phần ba thu nhập ngoại tệ của nước này và cung cấp dòng tiền bất hợp pháp ổn định, miễn nhiễm với các lệnh trừng phạt truyền thống.

Trong một báo cáo ngày 22 tháng 10, Nhóm Giám sát Trừng phạt Đa phương cho biết từ tháng 1 năm 2024 đến tháng 9 năm 2025, các tác nhân Triều Tiên đã tổ chức các vụ trộm tiền mã hóa với tổng giá trị ít nhất 2.8 tỷ USD, thông qua các nhóm hacker và tác nhân mạng do nhà nước hậu thuẫn nhắm vào lĩnh vực tài sản số.

Phần lớn số tiền này đến từ các sự cố lớn, bao gồm vụ khai thác Bybit vào tháng 2 năm 2025, riêng vụ này đã chiếm khoảng một nửa tổng số. Báo cáo quy trách nhiệm cho các tác nhân đe dọa quen thuộc của Triều Tiên sử dụng các phương pháp chuỗi cung ứng, kỹ thuật xã hội và xâm nhập ví tinh vi.

Kho vũ khí tinh vi của Triều Tiên về trộm cắp và né tránh

Hoạt động tiền mã hóa của Triều Tiên xoay quanh một hệ sinh thái chặt chẽ gồm các nhóm hacker liên kết với nhà nước, nổi bật nhất là Lazarus, Kimsuky, TraderTraitor và Andariel, dấu vết của họ xuất hiện trong hầu hết các vụ vi phạm tài sản số lớn trong hai năm qua.

Theo các nhà phân tích an ninh mạng, các nhóm này hoạt động dưới sự chỉ đạo của Cục Trinh sát Tổng hợp, cơ quan tình báo chính của Bình Nhưỡng, phối hợp các cuộc tấn công mô phỏng hiệu quả của khu vực tư nhân. Sáng kiến chính của họ là bỏ qua hoàn toàn các sàn giao dịch, thay vào đó nhắm mục tiêu vào các nhà cung cấp dịch vụ lưu ký tài sản số bên thứ ba mà các sàn sử dụng để lưu trữ an toàn.

Bằng cách xâm nhập hạ tầng của các công ty như Safe(Wallet), Ginco và Liminal Custody, các tác nhân Triều Tiên đã có được “chìa khóa vạn năng” để lấy cắp tiền từ các khách hàng bao gồm Bybit, DMM Bitcoin của Nhật Bản và WazirX của Ấn Độ.

Cuộc tấn công vào DMM Bitcoin, dẫn đến thiệt hại 308 triệu USD và việc sàn này phải đóng cửa, đã được khởi xướng từ nhiều tháng trước đó khi một tác nhân TraderTraitor, giả danh là nhà tuyển dụng trên LinkedIn, đã lừa một nhân viên Ginco mở một tệp độc hại ngụy trang dưới dạng bài kiểm tra trước phỏng vấn.

Các nhóm do nhà nước tài trợ khác cũng phối hợp với nỗ lực chính này. Tập thể CryptoCore, dù kém tinh vi hơn, nhưng thực hiện các chiến dịch kỹ thuật xã hội với khối lượng lớn, giả danh là nhà tuyển dụng và giám đốc doanh nghiệp để xâm nhập mục tiêu.

Trong khi đó, Citrine Sleet đã phát triển danh tiếng nhờ triển khai phần mềm giao dịch tiền mã hóa bị cài trojan. Trong một sự cố chi tiết vào tháng 10 năm 2024, một tác nhân Citrine Sleet giả danh là nhà thầu cũ đáng tin cậy trên Telegram đã gửi một tệp ZIP độc hại cho một lập trình viên tại Radiant Capital, dẫn đến vụ trộm 50 triệu USD.

Dấu vết rửa tiền dẫn về Triều Tiên

Sau khi bị đánh cắp, tài sản số sẽ trải qua một quy trình rửa tiền phức tạp gồm chín bước nhằm che giấu nguồn gốc và chuyển đổi thành tiền pháp định có thể sử dụng. Các tác nhân mạng của DPRK có hệ thống chuyển đổi token bị đánh cắp sang các loại tiền mã hóa phổ biến như Ethereum hoặc Bitcoin, sau đó sử dụng một loạt dịch vụ trộn như Tornado Cash và Wasabi Wallet.

Tiếp theo, họ tận dụng các cầu nối chuỗi chéo và bộ tổng hợp như THORChain và LI.FI để chuyển đổi giữa các blockchain, thường chuyển tài sản đã trộn sang USDT trên Tron để chuẩn bị cho việc rút tiền mặt. Các nhà điều tra cho biết toàn bộ hoạt động này phụ thuộc vào mạng lưới các nhà môi giới OTC, chủ yếu ở Trung Quốc, những người nhận USDT đã rửa và chuyển số tiền pháp định tương ứng vào các tài khoản ngân hàng do DPRK kiểm soát thông qua thẻ UnionPay Trung Quốc.

Chiến dịch trộm cắp kỹ thuật số không ngừng này có hậu quả thực tế nghiêm trọng và trực tiếp. Hàng tỷ USD bị rút khỏi hệ sinh thái tiền mã hóa không biến mất vào khoảng không quan liêu. Báo cáo của MSMT kết luận rằng dòng doanh thu này là then chốt để mua sắm vật liệu và thiết bị cho các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo bất hợp pháp của DPRK.

Bằng cách cung cấp một dòng tiền bất hợp pháp khổng lồ miễn nhiễm với các lệnh trừng phạt tài chính truyền thống, ngành công nghiệp tiền mã hóa toàn cầu đã bị vũ khí hóa, trở thành nhà tài trợ không được kiểm soát và không tự nguyện cho tham vọng quân sự của Bình Nhưỡng. Những vụ trộm này không chỉ đơn thuần là tội phạm vì lợi nhuận; chúng là các hành động chính sách nhà nước, tài trợ cho việc tăng cường quân sự đe dọa an ninh toàn cầu.