Một báo cáo mới từ Nhóm Giám sát Trừng phạt Đa phương (MSMT) cho biết, các nhóm hacker Triều Tiên đã đánh cắp tổng cộng 2,83 tỷ USD tài sản crypto trong giai đoạn từ tháng 1/2024 đến tháng 9/2025.
Con số này chiếm gần một phần ba tổng thu nhập ngoại tệ của Triều Tiên trong năm 2024, phản ánh mức độ phụ thuộc ngày càng lớn của Bình Nhưỡng vào hoạt động tội phạm mạng để lách trừng phạt quốc tế.
Vụ tấn công Bybit là lớn nhất
MSMT — liên minh gồm 11 quốc gia thành lập từ tháng 10/2024 — được lập ra để theo dõi cách Triều Tiên né tránh trừng phạt thông qua các vụ tấn công mạng. Báo cáo mới nhất cho thấy quy mô trộm cắp crypto tăng mạnh trong năm 2025, với 1,64 tỷ USD bị đánh cắp chỉ trong 9 tháng đầu năm, tăng 50% so với 1,19 tỷ USD của năm trước.
Phần lớn số tiền này đến từ vụ tấn công sàn Bybit hồi tháng 2/2025, được cho là do nhóm TraderTraitor (còn gọi là Jade Sleet hoặc UNC4899) thực hiện. Hacker đã nhắm vào SafeWallet, nhà cung cấp ví đa chữ ký của Bybit, bằng cách gửi email lừa đảo chứa mã độc để xâm nhập hệ thống nội bộ. Sau đó, chúng ngụy trang các giao dịch chuyển tiền ra ngoài thành giao dịch nội bộ, chiếm quyền điều khiển hợp đồng thông minh của ví lạnh và rút tiền mà không bị phát hiện.
Theo MSMT, các nhóm hacker Triều Tiên thường không tấn công trực tiếp sàn giao dịch, mà tập trung vào các đơn vị cung cấp dịch vụ bên thứ ba. Những nhóm như TraderTraitor, CryptoCore và Citrine Sleet sử dụng hồ sơ lập trình viên giả, danh tính bị đánh cắp và kiến thức sâu về chuỗi cung ứng phần mềm để thực hiện tấn công.
Một trường hợp đáng chú ý là dự án Web3 Munchables, bị đánh cắp 63 triệu USD nhưng số tiền này sau đó được hoàn trả khi nhóm hacker gặp sự cố trong quá trình rửa tiền.
Quy trình rửa tiền tinh vi
Phân tích của MSMT mô tả chuỗi chín bước rửa tiền mà các hacker Triều Tiên thường sử dụng để chuyển đổi crypto bị đánh cắp thành tiền mặt. Quy trình bắt đầu bằng việc hoán đổi tài sản bị trộm sang Ethereum (ETH) trên các sàn phi tập trung, sau đó sử dụng các dịch vụ trộn như Tornado Cash và Wasabi Wallet để xoá dấu vết giao dịch.
ETH sau đó được chuyển đổi sang Bitcoin (BTC) qua các cầu nối, trộn lại lần nữa, cất giữ trong ví lạnh, rồi chuyển đổi sang Tron (TRX) trước khi đổi ra USDT. Cuối cùng, USDT được gửi cho các môi giới OTC, những người này sẽ đổi ra tiền mặt.
Báo cáo xác định các cá nhân và doanh nghiệp tại Trung Quốc, Nga và Campuchia đóng vai trò then chốt trong quy trình này.
MSMT cũng cho biết các hacker Triều Tiên đã hợp tác với tội phạm mạng nói tiếng Nga từ những năm 2010, và trong năm 2025, nhóm Moonstone Sleet đã thuê công cụ ransomware từ băng nhóm Nga Qilin.
Trước mối đe dọa leo thang này, 11 quốc gia thành viên MSMT đã ra tuyên bố chung kêu gọi các quốc gia thành viên Liên Hợp Quốc tăng cường nhận thức về hoạt động tội phạm mạng của Triều Tiên, đồng thời thúc giục Hội đồng Bảo an Liên Hợp Quốc khôi phục Ủy ban Chuyên gia Giám sát Trừng phạt với quy mô và quyền hạn như trước khi bị giải thể.
Thạch Sanh
Theo Tapchibitcoin
