Cách các hoạt động hack của Triều Tiên duy trì hơn 30 danh tính giả trên các nền tảng toàn cầu

Gần đây, các cuộc điều tra về thiết bị của nhân viên IT Triều Tiên bị xâm phạm đã tiết lộ sơ đồ hoạt động của một nhóm kỹ thuật tinh vi gồm năm người quản lý một mạng lưới các nhân dạng trực tuyến gian lận rộng lớn. Những tiết lộ này, do thám tử on-chain nổi tiếng ZachXBT chia sẻ, cung cấp cái nhìn chưa từng có về cách các tác nhân này xâm nhập có hệ thống vào các dự án phát triển tiền điện tử và các công ty công nghệ toàn cầu.

Cơ sở hạ tầng đằng sau gian lận danh tính hàng loạt

Mô hình hoạt động của nhóm dựa trên việc mua các tài khoản đã có và triển khai các công cụ truy cập từ xa. Chiến lược mua bán của họ bao gồm mua hồ sơ Upwork và LinkedIn, lấy số an sinh xã hội giả (SSNs), và thuê số điện thoại cùng thiết bị máy tính. Khi đã trang bị đầy đủ, họ sử dụng phần mềm máy tính từ xa AnyDesk để hoàn thành các công việc phát triển thuê chéo nền tảng cùng lúc.

Các hồ sơ chi tiêu lấy lại từ hệ thống của họ tiết lộ một chuỗi cung ứng tinh vi: các nhà xử lý thanh toán tiền điện tử như Payoneer chuyển đổi thu nhập fiat thành tài sản kỹ thuật số, trong khi các dịch vụ đăng ký AI và dịch vụ VPN/proxy ngược che giấu vị trí địa lý thực sự và dấu chân hoạt động của họ. Phương pháp phân lớp này giúp họ duy trì quyền truy cập liên tục vào thị trường lao động toàn cầu bất chấp các nỗ lực phát hiện lặp đi lặp lại.

Quy trình hoạt động và thách thức nội bộ

Các tài liệu Google Drive và hồ sơ trình duyệt Chrome tiết lộ quy trình nội bộ có vẻ khá bình thường. Báo cáo hiệu suất hàng tuần chi tiết nhiệm vụ, phân bổ ngân sách và ghi chú khắc phục sự cố. Một mục ghi lại sự thất vọng của thành viên nhóm: “không hiểu yêu cầu công việc và không biết phải làm gì,” với phản hồi của giám sát đơn giản là “hãy cống hiến và làm việc chăm chỉ hơn.”

Lịch trình chi tiết cho thấy cách các danh tính giả như “Henry Zhang” được triển khai trên các dự án với các quy trình họp có kịch bản. Sự điều chỉnh này cho thấy quản lý tập trung mặc dù phân tán về mặt địa lý—một điểm yếu quan trọng cuối cùng dẫn đến việc họ bị phát hiện.

Dấu vết tài chính và xác nhận danh tính

Một địa chỉ ví chính (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c) liên kết với vụ tấn công giao thức Favrr trị giá 680.000 đô la vào tháng 6 năm 2025 đã mang lại bước đột phá lớn đầu tiên. Các nạn nhân của vụ tấn công, CTO và các nhà phát triển bị xâm phạm, sau đó được xác nhận là nhân viên IT Triều Tiên hoạt động dưới danh tính giả mạo. Địa chỉ này trở thành một định danh quan trọng liên kết nhóm với nhiều vụ xâm nhập trong ngành.

Bằng chứng ngôn ngữ cũng chứng minh tính chính xác. Lịch sử tìm kiếm cho thấy thường xuyên dựa vào Google Dịch với các bản dịch tiếng Hàn được xử lý qua các địa chỉ IP Nga—một mẫu geoip ngược không phù hợp với vị trí của các nhân viên được tuyên bố.

Thách thức ngày càng tăng cho phòng thủ doanh nghiệp

Cuộc điều tra nhấn mạnh các lỗ hổng hệ thống trong kiến trúc an ninh hiện tại:

Khoảng cách phối hợp nền tảng: Các nhà cung cấp dịch vụ và doanh nghiệp tư nhân thiếu cơ chế chia sẻ tình báo chính thức, cho phép các danh tính gian lận cùng luân chuyển qua nhiều nền tảng mà không bị phát hiện.

Thủ tục tuyển dụng phản ứng: Các công ty mục tiêu thường trở nên phòng thủ khi đối mặt với cảnh báo rủi ro, ưu tiên duy trì hoạt động hơn là hợp tác điều tra an ninh.

Ưu thế về quy mô số lượng: Trong khi độ tinh vi kỹ thuật của từng cá nhân còn trung bình, thì số lượng lớn các cuộc xâm nhập—tận dụng một nguồn nhân lực khổng lồ—làm quá tải các quy trình sàng lọc truyền thống.

Chuyển đổi thanh toán tiền điện tử: Việc dễ dàng chuyển đổi thu nhập fiat thành tài sản kỹ thuật số qua các nền tảng dễ tiếp cận loại bỏ các rào cản ngân hàng truyền thống từng bắt giữ các hoạt động của các nhân viên nước ngoài.

Các lỗ hổng hoạt động này không tồn tại do kỹ năng tinh vi, mà bởi vì việc phát hiện đòi hỏi sự hợp tác chủ động giữa các nền tảng mà hiện tại chưa có quy mô trong ngành công nghiệp tiền điện tử và công nghệ.