CyberThao
Writer
Lợi dụng danh tính người Mỹ để xin việc từ xa và chuyển tiền về Triều Tiên
Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ vừa tuyên bố trừng phạt Song Kum Hyok, công dân Triều Tiên 38 tuổi cư trú tại tỉnh Cát Lâm, Trung Quốc. Ông này bị cáo buộc đã sử dụng thông tin cá nhân như tên, địa chỉ và số An sinh Xã hội của công dân Hoa Kỳ để tạo ra danh tính giả, giúp các nhân viên IT từ Triều Tiên giả dạng người Mỹ và xin việc từ xa tại các công ty Mỹ.Từ năm 2022 đến 2023, Song đã tổ chức việc chia sẻ thu nhập từ các công việc này, số tiền sau đó được chuyển về Triều Tiên thông qua các giao dịch tiền điện tử phức tạp. Đây là một phần trong chương trình có tên Nickel Tapestry, còn được biết đến với các tên gọi khác như Wagemole và UNC5267.
Chỉ vài ngày trước đó, Bộ Tư pháp Hoa Kỳ cũng đã công bố một chiến dịch mạnh tay nhắm vào chương trình này, dẫn đến việc bắt giữ một cá nhân, tịch thu 29 tài khoản tài chính, 21 trang web lừa đảo và gần 200 máy tính.
Bên cạnh Song, Bộ Tài chính Mỹ cũng áp lệnh trừng phạt đối với một công dân Nga là Gayk Asatryan, cùng các công ty Asatryan LLC và Fortuna LLC có trụ sở tại Nga. Những tổ chức này bị cáo buộc ký kết hợp đồng với:
- Tổng công ty thương mại Songkwang để đưa khoảng 30 nhân viên IT Triều Tiên làm việc tại Asatryan LLC.
- Korea Saenal Trading Corporation để đưa khoảng 50 nhân viên IT làm việc tại Fortuna LLC.
Triều Tiên tăng cường tấn công mạng để tài trợ cho vũ khí
Theo ông Michael "Barni" Barnhart, chuyên gia điều tra rủi ro tại DTEX, hoạt động của Andariel trong mạng lưới tuyển dụng IT là một phần của chiến lược dài hơi. Bản cáo trạng tháng 7/2024 của FBI đối với Rim Jong Hyok cũng cho thấy mối liên hệ giữa việc phát triển phần mềm độc hại và các hoạt động tội phạm mạng nhằm tài trợ cho hoạt động tình báo và quân sự của Triều Tiên.Barnhart cho biết: “Giống như Rim, hoạt động của Song phản ánh rõ cách các nhóm hacker Triều Tiên đang chuyển đổi linh hoạt giữa các vai trò và nhiệm vụ. Andariel (APT45) đặc biệt nổi bật trong việc tích hợp nhân viên IT vào chiến lược nhà nước."

Thứ trưởng Bộ Tài chính Mỹ Michael Faulkender nhấn mạnh: “Chúng tôi sẽ tiếp tục sử dụng mọi công cụ để ngăn chặn các hành vi trộm cắp tài sản kỹ thuật số và giả mạo danh tính công dân Mỹ, phục vụ cho chương trình vũ khí hủy diệt hàng loạt của Triều Tiên.”
Theo báo cáo từ TRM Labs, trong 6 tháng đầu năm 2025, Triều Tiên đã đứng sau các vụ đánh cắp tiền điện tử trị giá khoảng 1,6 tỷ USD (gần 40.000 tỷ VNĐ) trong tổng số 2,1 tỷ USD (gần 52.500 tỷ VNĐ) bị đánh cắp toàn cầu, chủ yếu từ vụ tấn công sàn Bybit.
Barnhart lưu ý rằng mối đe dọa này mang tính toàn cầu và cực kỳ phức tạp. Một nhân viên IT Triều Tiên có thể đang ở Trung Quốc, làm việc cho công ty vỏ bọc tại Singapore, ký hợp đồng với nhà cung cấp ở châu Âu để phục vụ khách hàng tại Hoa Kỳ. Điều đó khiến việc điều tra và ngăn chặn trở nên khó khăn hơn bao giờ hết.
Tuy nhiên, ông cũng cho rằng: “Tin tốt là nhận thức đang được cải thiện nhanh chóng, và chúng ta bắt đầu thấy những kết quả tích cực từ nỗ lực phối hợp quốc tế.”
Trong diễn biến khác, nhóm tin tặc Kimsuky (APT-C-55) – một đơn vị liên kết khác với Triều Tiên – đang sử dụng cửa hậu HappyDoor để tấn công các tổ chức tại Hàn Quốc. Theo công ty bảo mật AhnLab, HappyDoor đã xuất hiện từ năm 2021, thường được phát tán qua email lừa đảo mạo danh giáo sư hoặc tổ chức học thuật. Sau khi người dùng mở tệp đính kèm, phần mềm độc hại sẽ được cài đặt để thu thập dữ liệu, thực thi lệnh và tải thêm mã độc khác.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/us-sanctions-north-korean-andariel.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview