Nhà biên tập lưu ý: Các hacker từ Triều Tiên luôn là một mối đe dọa lớn đối với thị trường tiền điện tử. Những năm qua, các nạn nhân và nhân viên an ninh trong ngành chỉ có thể suy đoán hành vi của hacker Triều Tiên thông qua việc đảo ngược các sự kiện an ninh liên quan trong từng kỳ. Tuy nhiên, ngày hôm qua, nhà điều tra chuỗi nổi tiếng ZachXBT đã trích dẫn trong tweet mới nhất của mình một phân tích điều tra từ một hacker mũ trắng đã lật ngược lại hacker Triều Tiên, lần đầu tiên phơi bày "công việc" của hacker Triều Tiên từ một góc độ chủ động, điều này có thể có ý nghĩa tích cực nhất định đối với việc phòng ngừa an ninh trước cho các dự án trong ngành.
Dưới đây là toàn bộ nội dung của ZachXBT, được biên dịch bởi Odaily 星球日报.
Một hacker ẩn danh không muốn tiết lộ danh tính gần đây đã xâm nhập vào thiết bị của một nhân viên CNTT ở Triều Tiên, từ đó phơi bày bí mật về cách một nhóm kỹ thuật năm người thao túng hơn 30 danh tính giả để hoạt động. Nhóm này không chỉ sở hữu giấy tờ tùy thân giả do chính phủ phát hành mà còn thâm nhập vào các dự án phát triển thông qua việc mua tài khoản Upwork/LinkedIn.
Nhà điều tra đã nhận được dữ liệu từ Google Drive, hồ sơ cấu hình trình duyệt Chrome và ảnh chụp màn hình thiết bị. Dữ liệu cho thấy, đội ngũ này rất phụ thuộc vào các công cụ của Google để phối hợp lịch làm việc, phân công nhiệm vụ và quản lý ngân sách, tất cả các giao tiếp đều sử dụng tiếng Anh.
Một báo cáo hàng tuần trong năm 2025 đã tiết lộ cách làm việc của nhóm hacker này và những khó khăn mà họ gặp phải trong thời gian đó, chẳng hạn như có thành viên đã phàn nàn rằng "không hiểu yêu cầu công việc, không biết phải làm gì", trong khi cột giải pháp tương ứng lại ghi là "cố gắng hết sức, làm việc chăm chỉ gấp đôi"...
Bảng chi tiết chi tiêu cho thấy các khoản chi tiêu của họ bao gồm việc mua số an sinh xã hội (SSN), giao dịch tài khoản Upwork và LinkedIn, thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính và mua sắm dịch vụ VPN / proxy, v.v.
Một bảng tính điện tử chi tiết ghi lại lịch trình và kịch bản nói chuyện của người tham gia hội nghị với danh tính giả "Henry Zhang". Quy trình hoạt động cho thấy, những công nhân CNTT từ Triều Tiên sẽ mua tài khoản Upwork và LinkedIn, thuê thiết bị máy tính, sau đó hoàn thành công việc gia công thông qua công cụ điều khiển từ xa AnyDesk.
Một trong những địa chỉ ví mà họ sử dụng để nhận và gửi tiền là:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Địa chỉ này có mối liên hệ chặt chẽ trên chuỗi với sự kiện tấn công giao thức Favrr trị giá 680.000 USD xảy ra vào tháng 6 năm 2025, sau đó xác nhận rằng CTO và các nhà phát triển khác đều là những công nhân IT Bắc Triều Tiên mang chứng minh thư giả. Thông qua địa chỉ này cũng đã xác định được các nhân viên IT Bắc Triều Tiên liên quan đến các dự án xâm nhập khác.
Các bằng chứng quan trọng sau đây cũng đã được phát hiện trong hồ sơ tìm kiếm và lịch sử trình duyệt của nhóm.
Có thể có người sẽ hỏi "Làm thế nào để xác nhận rằng họ đến từ Triều Tiên"? Ngoài tất cả các tài liệu giả mạo được mô tả chi tiết ở trên, lịch sử tìm kiếm của họ cũng cho thấy họ thường xuyên sử dụng Google Dịch và sử dụng IP Nga để dịch sang tiếng Hàn.
Hiện tại, thách thức chính mà các doanh nghiệp phải đối mặt trong việc ngăn chặn các công nhân CNTT từ Triều Tiên tập trung vào các lĩnh vực sau:
Thiếu sự hợp tác hệ thống: Các nhà cung cấp dịch vụ nền tảng và doanh nghiệp tư nhân thiếu cơ chế chia sẻ thông tin và hợp tác hiệu quả;
Bên thuê không kiểm soát: Đội ngũ nhân sự thường có thái độ phòng thủ sau khi nhận được cảnh báo rủi ro, thậm chí từ chối hợp tác điều tra;
Lợi thế số lượng tấn công: Mặc dù các phương pháp kỹ thuật của nó không phức tạp, nhưng nhờ vào cơ sở ứng viên khổng lồ, nó tiếp tục thâm nhập vào thị trường lao động toàn cầu;
Kênh chuyển đổi tài chính: Các nền tảng thanh toán như Payoneer thường được sử dụng để chuyển đổi thu nhập bằng tiền tệ pháp định từ công việc phát triển sang tiền điện tử;
Tôi đã nhiều lần giới thiệu về các chỉ số cần lưu ý, nếu bạn quan tâm có thể tham khảo lại các tweet trước của tôi, ở đây tôi sẽ không lặp lại nữa.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
ZachXBT:Đảo ngược Hacker thiết bị của Triều Tiên, tôi đã hiểu "mô hình" làm việc của họ
Tác giả: ZachXBT
Biên dịch: Azuma, Báo cáo hành tinh
Nhà biên tập lưu ý: Các hacker từ Triều Tiên luôn là một mối đe dọa lớn đối với thị trường tiền điện tử. Những năm qua, các nạn nhân và nhân viên an ninh trong ngành chỉ có thể suy đoán hành vi của hacker Triều Tiên thông qua việc đảo ngược các sự kiện an ninh liên quan trong từng kỳ. Tuy nhiên, ngày hôm qua, nhà điều tra chuỗi nổi tiếng ZachXBT đã trích dẫn trong tweet mới nhất của mình một phân tích điều tra từ một hacker mũ trắng đã lật ngược lại hacker Triều Tiên, lần đầu tiên phơi bày "công việc" của hacker Triều Tiên từ một góc độ chủ động, điều này có thể có ý nghĩa tích cực nhất định đối với việc phòng ngừa an ninh trước cho các dự án trong ngành.
Dưới đây là toàn bộ nội dung của ZachXBT, được biên dịch bởi Odaily 星球日报.
Một hacker ẩn danh không muốn tiết lộ danh tính gần đây đã xâm nhập vào thiết bị của một nhân viên CNTT ở Triều Tiên, từ đó phơi bày bí mật về cách một nhóm kỹ thuật năm người thao túng hơn 30 danh tính giả để hoạt động. Nhóm này không chỉ sở hữu giấy tờ tùy thân giả do chính phủ phát hành mà còn thâm nhập vào các dự án phát triển thông qua việc mua tài khoản Upwork/LinkedIn.
Nhà điều tra đã nhận được dữ liệu từ Google Drive, hồ sơ cấu hình trình duyệt Chrome và ảnh chụp màn hình thiết bị. Dữ liệu cho thấy, đội ngũ này rất phụ thuộc vào các công cụ của Google để phối hợp lịch làm việc, phân công nhiệm vụ và quản lý ngân sách, tất cả các giao tiếp đều sử dụng tiếng Anh.
Một báo cáo hàng tuần trong năm 2025 đã tiết lộ cách làm việc của nhóm hacker này và những khó khăn mà họ gặp phải trong thời gian đó, chẳng hạn như có thành viên đã phàn nàn rằng "không hiểu yêu cầu công việc, không biết phải làm gì", trong khi cột giải pháp tương ứng lại ghi là "cố gắng hết sức, làm việc chăm chỉ gấp đôi"...
Bảng chi tiết chi tiêu cho thấy các khoản chi tiêu của họ bao gồm việc mua số an sinh xã hội (SSN), giao dịch tài khoản Upwork và LinkedIn, thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính và mua sắm dịch vụ VPN / proxy, v.v.
Một bảng tính điện tử chi tiết ghi lại lịch trình và kịch bản nói chuyện của người tham gia hội nghị với danh tính giả "Henry Zhang". Quy trình hoạt động cho thấy, những công nhân CNTT từ Triều Tiên sẽ mua tài khoản Upwork và LinkedIn, thuê thiết bị máy tính, sau đó hoàn thành công việc gia công thông qua công cụ điều khiển từ xa AnyDesk.
Một trong những địa chỉ ví mà họ sử dụng để nhận và gửi tiền là:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Địa chỉ này có mối liên hệ chặt chẽ trên chuỗi với sự kiện tấn công giao thức Favrr trị giá 680.000 USD xảy ra vào tháng 6 năm 2025, sau đó xác nhận rằng CTO và các nhà phát triển khác đều là những công nhân IT Bắc Triều Tiên mang chứng minh thư giả. Thông qua địa chỉ này cũng đã xác định được các nhân viên IT Bắc Triều Tiên liên quan đến các dự án xâm nhập khác.
Các bằng chứng quan trọng sau đây cũng đã được phát hiện trong hồ sơ tìm kiếm và lịch sử trình duyệt của nhóm.
Có thể có người sẽ hỏi "Làm thế nào để xác nhận rằng họ đến từ Triều Tiên"? Ngoài tất cả các tài liệu giả mạo được mô tả chi tiết ở trên, lịch sử tìm kiếm của họ cũng cho thấy họ thường xuyên sử dụng Google Dịch và sử dụng IP Nga để dịch sang tiếng Hàn.
Hiện tại, thách thức chính mà các doanh nghiệp phải đối mặt trong việc ngăn chặn các công nhân CNTT từ Triều Tiên tập trung vào các lĩnh vực sau:
Tôi đã nhiều lần giới thiệu về các chỉ số cần lưu ý, nếu bạn quan tâm có thể tham khảo lại các tweet trước của tôi, ở đây tôi sẽ không lặp lại nữa.