“Đội quân” hacker khét tiếng của Triều Tiên đã đánh cắp 2 tỷ USD tiền mã hóa trong năm 2025. Ảnh: Bloomberg
Tập trung vào “điểm gãy” của hệ thống tập trung
Tin tặc có liên hệ với Triều Tiên đã đánh cắp ít nhất 2 tỷ USD tiền mã hóa trong năm 2025, mức cao nhất từng được ghi nhận, trích từ tổng kết năm của Chainalysis.
As we close out 2025, we want to thank our customers and partners for an incredible year of collaboration and impact. Together, we advanced trust across the crypto ecosystem and turned intelligence into real-world outcomes. This page captures a few highlights from the year -…
— Chainalysis (@chainalysis) December 18, 2025
Con số này nâng tổng lượng tài sản số mà Bình Nhưỡng bị cáo buộc chiếm đoạt từ trước đến nay lên khoảng 6,75 tỷ USD, củng cố vị thế là tác nhân tấn công nguy hiểm bậc nhất trong hệ sinh thái crypto toàn cầu.
So với năm 2024, giá trị tài sản bị đánh cắp tăng 51%, dù số vụ việc được xác nhận lại ít hơn. Tâm điểm là vụ tấn công sàn giao dịch Bybit hồi tháng 3, với giá trị thiệt hại lên tới 1,4 tỷ USD, xác lập vụ hack tiền mã hóa lớn nhất trong lịch sử.
Khác với phần lớn tội phạm mạng khác vốn phân tán mục tiêu, các nhóm tin tặc liên quan đến Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) gần như chỉ nhắm vào các dịch vụ crypto quy mô lớn, có thể gây thiệt hại mang tính thảm họa.
Các tác nhân liên quan đến Triều Tiên đứng sau 76% tổng số vụ xâm phạm ở cấp độ dịch vụ trong năm 2025, tỷ lệ cao nhất từng được ghi nhận. Dữ liệu từ TRM Labs cho thấy trọng tâm tấn công đã dịch chuyển khỏi các giao thức DeFi sang hạ tầng lưu ký, quản trị khóa riêng và quy trình nội bộ của sàn, nơi yếu tố con người làm mắt xích then chốt.
Nhiều cuộc tấn công không bắt đầu từ lỗ hổng kỹ thuật, mà từ giả danh nhân viên IT, đối tác tuyển dụng hoặc nhà thầu, từng bước xâm nhập vào chuỗi vận hành và kiểm soát hệ thống từ bên trong.
Không chỉ cách tấn công, phương thức rửa tiền của Triều Tiên cũng đang tiến hóa đáng gờm. Nếu như các nhóm hacker khác thường thực hiện các giao dịch on-chain lớn để di chuyển tài sản, các ví liên quan đến DPRK lại liên tục chia nhỏ dòng tiền thành các khoản dưới 500.000 USD, nhằm giảm dấu vết và né tránh cơ chế giám sát.
Chainalysis cho biết các ví này phụ thuộc mạnh vào mạng lưới môi giới OTC, dịch vụ bảo lãnh và “làm sạch” tiền bất hợp pháp, kết hợp với cầu nối blockchain và dịch vụ trộn tiền. Ngược lại, họ phần lớn tránh các nền tảng P2P, DEX và giao thức cho vay DeFi. TRM Labs mô tả đây là quá trình công nghiệp hóa hoạt động trộm cắp crypto, với các tuyến rửa tiền được chuẩn hóa, lặp lại và vận hành như một dây chuyền.
AI làm “chất xúc tác” cho hiệu suất tấn công
Triều Tiên đang khai thác trí tuệ nhân tạo (AI) như một lợi thế chiến lược trong các chiến dịch tấn công và rửa tiền.
Ông Andrew Fierman, Giám đốc mảng tình báo an ninh quốc gia tại Chainalysis, nhận định Triều Tiên thực hiện việc rửa tiền từ các vụ trộm crypto với mức độ nhất quán và trơn tru cho thấy dấu hiệu rõ rệt của việc sử dụng AI.
Theo ông, quy trình này kết hợp các dịch vụ trộn tiền, cầu nối và giao thức DeFi ngay từ giai đoạn đầu để chuyển đổi tài sản qua nhiều blockchain khác nhau. “Để vận hành hiệu quả ở quy mô lớn như vậy, họ cần một mạng lưới rửa tiền đồ sộ cùng các cơ chế được tự động hóa, điều rất có thể đến từ AI,” ông nói.
Phân tích hoạt động hậu tấn công cho thấy các vụ trộm lớn do Triều Tiên thực hiện thường diễn ra theo một chu kỳ rửa tiền kéo dài khoảng 45 ngày, từ che giấu ban đầu đến khi tài sản được hợp thức hóa hoàn toàn. Dù không phải lúc nào cũng tuyệt đối, sự lặp lại của mô hình này trong nhiều năm mang lại cửa sổ can thiệp quan trọng cho cơ quan thực thi pháp luật và các bộ phận tuân thủ.
Trong khi các vụ tấn công cấp độ dịch vụ ngày càng hiếm nhưng có sức công phá lớn, các vụ xâm phạm ví cá nhân lại bùng nổ về số lượng. Năm 2025 ghi nhận khoảng 158.000 vụ tấn công vào ví cá nhân, song tổng thiệt hại chỉ còn 713 triệu USD, giảm 52% so với năm trước.
Điều này cho thấy tin tặc đang nhắm tới nhiều nạn nhân hơn nhưng lấy ít tiền hơn ở mỗi vụ, thông qua các hình thức phishing mới, bao gồm giả mạo cuộc gọi Zoom, Teams hay chiếm quyền Telegram để lan truyền lừa đảo theo mạng lưới quan hệ.
Năm 2025 sắp khép lại, các báo cáo an ninh quốc tế - bao gồm đánh giá từ Liên Hợp Quốc và các cơ quan Mỹ - tiếp tục cảnh báo rằng một phần đáng kể số tiền crypto bị đánh cắp được sử dụng để né tránh lệnh trừng phạt và tài trợ cho các chương trình vũ khí của Triều Tiên.
Coin68 tổng hợp
