Các điệp viên Bắc Triều Tiên đã bị bắt gặp trên camera, trực tiếp, sau khi các nhà nghiên cứu bảo mật dụ họ vào một "máy tính xách tay của nhà phát triển" được cài bẫy, ghi lại cách nhóm liên quan đến Lazarus cố gắng hòa nhập vào quy trình tuyển dụng Crypto của Mỹ bằng cách sử dụng các công cụ tuyển dụng AI hợp pháp và dịch vụ đám mây.
Sự tiến hóa trong tội phạm mạng do nhà nước tài trợ được báo cáo là đã được ghi lại theo thời gian thực bởi các nhà nghiên cứu tại BCA LTD, NorthScan và nền tảng phân tích phần mềm độc hại ANY.RUN.
Bắt kẻ tấn công Bắc Triều Tiên
Hacker News đã chia sẻ cách mà, trong một chiến dịch chống gián điệp phối hợp, nhóm đã triển khai một "honeypot", một môi trường giám sát được ngụy trang như máy tính xách tay hợp pháp của nhà phát triển, để nhử Nhóm Lazarus.
Đoạn phim thu được cung cấp cho ngành công nghiệp cái nhìn rõ ràng nhất về cách các đơn vị Bắc Triều Tiên, đặc biệt là bộ phận Famous Chollima, đang vượt qua các tường lửa truyền thống bằng cách đơn giản là được phòng nhân sự của mục tiêu tuyển dụng.
Chiến dịch bắt đầu khi các nhà nghiên cứu tạo ra một nhân vật nhà phát triển và chấp nhận yêu cầu phỏng vấn từ một nhà tuyển dụng với bí danh "Aaron". Thay vì triển khai một tải trọng phần mềm độc hại tiêu chuẩn, nhà tuyển dụng đã hướng mục tiêu đến một thỏa thuận làm việc từ xa phổ biến trong lĩnh vực Web3.
Khi các nhà nghiên cứu cấp quyền truy cập vào "máy tính xách tay", thực chất là một máy ảo được giám sát chặt chẽ được thiết kế để mô phỏng một trạm làm việc tại Mỹ, các điệp viên đã không cố gắng khai thác các lỗ hổng mã.
Thay vào đó, họ tập trung vào việc thiết lập sự hiện diện của mình như những nhân viên mẫu mực.
Xây dựng lòng tin
Một khi đã vào trong môi trường được kiểm soát, các điệp viên đã thể hiện một quy trình làm việc được tối ưu hóa để hòa nhập hơn là đột nhập.
Họ sử dụng phần mềm tự động hóa công việc hợp pháp, bao gồm Simplify Copilot và AiApply, để tạo ra các câu trả lời phỏng vấn hoàn chỉnh và điền vào các mẫu đơn ứng dụng ở quy mô lớn.
Việc sử dụng các công cụ năng suất phương Tây này làm nổi bật một sự leo thang đáng lo ngại, cho thấy các tác nhân nhà nước đang tận dụng chính các công nghệ AI được thiết kế để hợp lý hóa việc tuyển dụng doanh nghiệp để đánh bại họ.
Cuộc điều tra tiết lộ rằng những kẻ tấn công đã định tuyến lưu lượng truy cập của họ thông qua Astrill VPN để che giấu vị trí của họ và sử dụng các dịch vụ dựa trên trình duyệt để xử lý mã xác minh 2FA liên quan đến các danh tính bị đánh cắp.
Mục tiêu cuối cùng không phải là sự phá hủy ngay lập tức mà là quyền truy cập dài hạn. Các điệp viên đã cấu hình Google Remote Desktop thông qua PowerShell với một mã PIN cố định, đảm bảo rằng họ có thể duy trì quyền kiểm soát máy ngay cả khi máy chủ cố gắng thu hồi đặc quyền.
Vì vậy, các lệnh của họ mang tính hành chính, chạy chẩn đoán hệ thống để xác nhận phần cứng.
Về cơ bản, họ không cố gắng xâm nhập vào ví ngay lập tức.
Thay vào đó, người Bắc Triều Tiên tìm cách thiết lập bản thân như những người nội bộ đáng tin cậy, định vị bản thân để truy cập vào các kho lưu trữ nội bộ và bảng điều khiển đám mây.
Dòng doanh thu hàng tỷ đô la
Sự cố này là một phần của một tổ hợp công nghiệp lớn hơn đã biến gian lận việc làm thành nguồn doanh thu chính cho chế độ bị trừng phạt.
Nhóm Giám sát Trừng phạt Đa phương gần đây ước tính rằng các nhóm liên quan đến Bình Nhưỡng đã đánh cắp khoảng 2,83 tỷ đô la tài sản số giữa năm 2024 và tháng 9 năm 2025.
Con số này, chiếm khoảng một phần ba thu nhập ngoại tệ của Bắc Triều Tiên, cho thấy rằng trộm cắp mạng đã trở thành một chiến lược kinh tế chủ quyền.
Hiệu quả của vectơ tấn công "lớp người" này đã được chứng minh một cách tàn khốc vào tháng 2 năm 2025 trong vụ vi phạm sàn giao dịch Bybit.
Trong sự cố đó, những kẻ tấn công được cho là thuộc nhóm TraderTraitor đã sử dụng thông tin đăng nhập nội bộ bị xâm phạm để ngụy trang các giao dịch chuyển tiền bên ngoài như các chuyển động tài sản nội bộ, cuối cùng giành quyền kiểm soát hợp đồng thông minh của ví lạnh.
Cuộc khủng hoảng tuân thủ
Sự chuyển hướng sang kỹ thuật xã hội tạo ra một cuộc khủng hoảng trách nhiệm nghiêm trọng cho ngành công nghiệp tài sản số.
Đầu năm nay, các công ty bảo mật như Huntress và Silent Push đã ghi nhận các mạng lưới công ty bình phong, bao gồm BlockNovas và SoftGlide, sở hữu đăng ký doanh nghiệp Mỹ hợp lệ và hồ sơ LinkedIn đáng tin cậy.
Những thực thể này thành công trong việc thuyết phục các nhà phát triển Game cài đặt các tập lệnh độc hại dưới vỏ bọc của các đánh giá kỹ thuật.
Đối với các nhân viên tuân thủ và Giám đốc An ninh Thông tin, thách thức đã biến đổi. Các giao thức Xác minh tên thật truyền thống tập trung vào khách hàng, nhưng quy trình làm việc của Lazarus đòi hỏi một tiêu chuẩn "Biết Nhân viên của Bạn" nghiêm ngặt.
Bộ Tư pháp đã bắt đầu trấn áp, thu giữ 7,74 triệu đô la liên quan đến các kế hoạch CNTT này, nhưng độ trễ phát hiện vẫn còn cao.
Như chiến dịch của BCA LTD đã chứng minh, cách duy nhất để bắt những tác nhân này có thể là chuyển từ phòng thủ thụ động sang lừa dối chủ động, tạo ra các môi trường được kiểm soát buộc các tác nhân đe dọa phải tiết lộ thủ đoạn của họ trước khi họ được trao chìa khóa vào kho bạc.
Nguồn: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
