Hacker tạo ra đường dây giả danh công dân Mỹ, ứng tuyển nhân viên IT từ xa, đánh cắp hàng tỷ USD gửi về Bắc Hàn

[trungthuc]

Lợi dụng danh tính người Mỹ để xin việc từ xa và chuyển tiền về Bắc Hàn
Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài Chính Hoa Kỳ vừa ra tuyên bố trừng phạt tên Song Kum Hyok, công dân Bắc Hàn 38 tuổ,i cư trú tại tỉnh Cát Lâm, TQ. Tên này bị tố cáo đã cho sử dụng thông tin cá nhân bị đánh cắp như tên, địa chỉ và số An sinh Xã hội của công dân Hoa Kỳ để tạo ra danh tính giả, giúp các nhân viên IT từ Bắc Hàn giả danh nghĩa là người Mỹ để xin việc từ xa tại các công ty Mỹ.

Từ năm 2022 đến 2023, tên Song đã tổ chức việc chia sẻ, thu nhập tiền bạc từ các công việc này, số tiền này sau đó được chuyển về Bắc Hàn thông qua các giao dịch tiền điện tử phức tạp. Đây là một phần trong chương trình lừa đảo có tên Nickel Tapestry, còn được biết đến với các tên gọi khác như Wagemole và UNC5267.

Chỉ vài ngày trước đó, Bộ Tư Pháp Hoa Kỳ cũng đã cho công bố một chiến dịch truy quét mạnh mẽ nhắm vào chương trình lừa đảo này, dẫn đến việc bắt giữ một cá nhân, tịch thu 29 tài khoản ngân hàng, 21 trang web lừa đảo và gần 200 máy tính.
Bên cạnh tên Song, Bộ Tài Chính Mỹ cũng áp lệnh trừng phạt đối với một công dân Nga tên là Gayk Asatryan, cùng các công ty Asatryan LLC và Fortuna LLC có trụ sở đặt tại Nga.

Những tổ chức này bị cáo buộc đã ký kết hợp đồng với:
- Tổng công ty thương mại Songkwang để đưa khoảng 30 nhân viên IT Bắc Hàn làm việc tại Asatryan LLC.
- Korea Saenal Trading Corporation để đưa khoảng 50 nhân viên IT làm việc tại Fortuna LLC.

Đây là lần đầu tiên mà một cá nhân có liên hệ với Andariel, một nhánh nhỏ của nhóm tin tặc khét tiếng Lazarusđã bị phát hiện có dính líu trực tiếp đến chương trình "nhân viên IT giả mạo" này. Lazarus được cho là có mối dính líu chặt chẽ với Tổng cục Tình báo Bắc Hàn (RGB).

Bắc Hàn tăng cường các cuộc tấn công mạng để tài trợ cho vũ khí​
Theo ông Michael "Barni" Barnhart, chuyên gia điều tra rủi ro tại DTEX, hoạt động của bọn hacker Andariel trong mạng lưới tuyển dụng IT là một phần của chiến lược lâu dài . Bản cáo trạng hồi đầu tháng 7/2024 của FBI đối với tên Rim Jong Hyok cũng cho thấy mối liên hệ giữa việc phát hành ra phần mềm độc hại và các hoạt động tội phạm mạng nhằm tài trợ cho hoạt động tình báo và quân sự của Bắc Hàn.

Ông Barnhart còn cho biết: "Giống như tên Rim, hoạt động của tên Song phản ảnh rõ cách các nhóm hacker Bắc Hàn đang có sự chuyển đổi linh động giữa vai trò và nhiệm vụ. Andariel (APT45) đặc biệt nổi bật trong việc kết hợp nhân viên IT vào chiến lược nhà nước Bắc Hàn"

(Minh họa)

Thứ trưởng Bộ Tài Chính Hoa Kỳ ông Michael Faulkender nhấn mạnh: "Chúng tôi sẽ tiếp tục sử dụng mọi biện pháp cần thiết để ngăn chặn triệt để các hành vi trộm cắp tài sản kỹ thuật số và giả mạo danh tính của công dân Mỹ, nhằm phục vụ cho chương trình vũ khí hủy diệt hàng loạt của Bắc Hàn".

Theo báo cáo từ TRM Labs, trong 6 tháng đầu năm 2025, tin tặc Bắc Hàn đã đứng sau các vụ đánh cắp tiền điện tử trị giá khoảng 1,6 tỷ USD trong tổng số 2,1 tỷ USD bị đánh cắp trên toàn cầu, chủ yếu từ vụ tấn công sàn tiền điện tử Bybit.

Ông Barnhart còn lưu ý rằng, mối đe dọa này mang tính trên toàn cầu và rất phức tạp. Một nhân viên IT Bắc Hàn có thể đang ở TQ, làm việc cho công ty vỏ bọc tại Singapore, ký hợp đồng với công ty cung cấp ở châu Âu để phục vụ khách hàng tại Hoa Kỳ. Điều đó khiến cho việc điều tra cặn kẻ và ngăn chặn trở nên khó khăn hơn bao giờ hết.
Tuy nhiên, ông cũng cho rằng:

"Tin tốt là nhận thức về tội phạm mạng đang được cải thiện nhanh chóng, và chúng ta bắt đầu thấy những kết quả tích cực từ các nỗ lực phối hợp của quốc tế".

Trong một diễn biến khác, nhóm tin tặc Kimsuky (APT-C-55) một băng nhóm liên kết khác với Bắc Hàn, đang sử dụng cửa hậu "HappyDoor" để xâm nhập tấn công các tổ chức tại Đại Hàn. Theo công ty bảo mật AhnLab, HappyDoor này đã thấy xuất hiện từ năm 2021, thường được cho phát tán qua email lừa đảo mạo danh tên tuổi các giáo sư hoặc tổ chức học thuật. Sau khi người dùng mở tập tin đính kèm, phần mềm độc hại sẽ được cài đặt để thu thập dữ kiện, thực thi lệnh và tải thêm các mã độc khác.

Đọc thêm chi tiết tại đây:
- https://thehackernews.com/2025/07/us...-andariel.html