Tiết lộ về hoạt động nội bộ của đội ngũ Hacker Triều Tiên
Gần đây, một hacker mũ trắng ẩn danh đã thành công xâm nhập vào thiết bị của một nhân viên CNTT Triều Tiên, tiết lộ nội tình về cách một đội ngũ kỹ thuật gồm năm người đã sử dụng hơn 30 danh tính giả để tiến hành hoạt động mạng. Đội ngũ này không chỉ sở hữu các giấy tờ tùy thân giả mạo mà còn thâm nhập vào các dự án phát triển khác nhau thông qua việc mua tài khoản trên các nền tảng trực tuyến.
Cơ quan điều tra đã thu thập dữ liệu lưu trữ đám mây, hồ sơ cấu hình trình duyệt và ảnh chụp thiết bị của nhóm. Tài liệu cho thấy nhóm này phụ thuộc nhiều vào bộ công cụ văn phòng của một gã khổng lồ công nghệ để phối hợp lịch làm việc, phân công nhiệm vụ và quản lý ngân sách, tất cả các giao tiếp đều được thực hiện bằng tiếng Anh.
Một báo cáo hàng tuần năm 2025 đã tiết lộ cách làm việc và những thách thức mà nhóm Hacker này phải đối mặt. Ví dụ, có thành viên đã phàn nàn "không thể hiểu yêu cầu công việc, không biết phải làm gì", trong khi giải pháp tương ứng lại là "đầu tư tâm huyết, nỗ lực gấp đôi".
Chi tiết chi tiêu của nhóm cho thấy các khoản chi của họ bao gồm mua số an sinh xã hội (SSN), tài khoản nền tảng giao dịch trực tuyến, thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính cũng như mua dịch vụ VPN/Proxy.
Một bảng tính chi tiết ghi lại thời gian tham dự và kịch bản nói chuyện của việc tham gia hội nghị với danh tính giả "Henry Zhang". Quy trình hoạt động cho thấy, những nhân viên CNTT đến từ Triều Tiên sẽ mua tài khoản trên nền tảng trực tuyến, thuê thiết bị máy tính, sau đó hoàn thành công việc thuê ngoài thông qua các công cụ điều khiển từ xa.
Cuộc điều tra cũng phát hiện một địa chỉ ví mà nhóm đã sử dụng để nhận và gửi tiền, địa chỉ này có mối liên hệ chặt chẽ trên chuỗi với sự kiện tấn công hợp đồng 680.000 USD xảy ra vào tháng 6 năm 2025. Sau đó, đã xác nhận rằng CTO của dự án bị tấn công và các nhà phát triển khác đều là những nhân viên CNTT Triều Tiên mang chứng minh thư giả. Thông qua địa chỉ này, cũng đã xác định được các nhân viên CNTT Triều Tiên khác trong các dự án bị xâm nhập.
Các ghi chép tìm kiếm và lịch sử trình duyệt của các thành viên trong nhóm đã phát hiện ra một lượng lớn bằng chứng quan trọng. Một số người có thể đặt câu hỏi làm thế nào để xác nhận rằng chúng đến từ Bắc Triều Tiên, ngoài các tài liệu giả mạo đã đề cập ở trên, lịch sử tìm kiếm của họ cũng cho thấy việc sử dụng thường xuyên các dịch vụ dịch thuật trực tuyến và sử dụng IP của Nga để dịch nội dung sang tiếng Hàn.
Hiện nay, các doanh nghiệp đang đối mặt với những thách thức chính trong việc ngăn chặn các nhân viên CNTT của Triều Tiên bao gồm:
Thiếu sự hợp tác hệ thống: Các nhà cung cấp dịch vụ nền tảng và các doanh nghiệp tư nhân thiếu cơ chế chia sẻ thông tin và hợp tác hiệu quả.
Bên thuê lao động không chú ý: Đội ngũ nhân sự thường có thái độ phòng vệ sau khi nhận được cảnh báo rủi ro, thậm chí từ chối hợp tác điều tra.
Ưu thế về số lượng: Mặc dù các phương pháp kỹ thuật của nó không phức tạp, nhưng nhờ vào cơ sở ứng viên khổng lồ, nó liên tục thâm nhập vào thị trường lao động toàn cầu.
Kênh chuyển đổi tiền: Một số nền tảng thanh toán thường xuyên được sử dụng để chuyển đổi thu nhập từ công việc phát triển bằng tiền pháp định sang tiền điện tử.
Cuộc điều tra này cung cấp cho ngành công nghiệp một cơ hội hiếm có để chủ động vạch trần phương pháp "làm việc" của các hacker Triều Tiên, có ý nghĩa quan trọng cho việc phòng ngừa an ninh trước cho các dự án. Doanh nghiệp và cá nhân đều nên nâng cao cảnh giác, tăng cường khả năng nhận diện và phòng ngừa các mối đe dọa tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
10
Đăng lại
Chia sẻ
Bình luận
0/400
SchrodingerAirdrop
· 19giờ trước
Đây là cái gì vậy?
Xem bản gốcTrả lời0
BlockchainThinkTank
· 08-19 04:56
Theo kinh nghiệm nhiều năm trong ngành, web đen Hacker gần đây hoạt động bất thường, khuyến nghị các Bên dự án nâng cao cảnh giác.
Xem bản gốcTrả lời0
MetaNomad
· 08-17 19:25
Thật ngầu, mình muốn học Hacker.
Xem bản gốcTrả lời0
AirdropHunterXiao
· 08-17 08:04
Điều này tương ứng với công nhân Bắc Triều Tiên.
Xem bản gốcTrả lời0
PanicSeller69
· 08-16 18:31
Sẽ không có thật ai kiếm tiền bằng cách làm việc trên công trường chứ?
Xem bản gốcTrả lời0
OnchainDetectiveBing
· 08-16 18:31
Lập trình viên mải chơi cũng sẽ bị kiểm tra!
Xem bản gốcTrả lời0
faded_wojak.eth
· 08-16 18:31
Vẫn còn sử dụng phần mềm văn phòng của Google...
Xem bản gốcTrả lời0
WhaleWatcher
· 08-16 18:30
Hacker đều không làm, rõ ràng là thuê ngoài
Xem bản gốcTrả lời0
MintMaster
· 08-16 18:23
Một cái nhìn là biết ngay là người lao động xã hội.
Đội ngũ hacker Triều Tiên bị phơi bày: danh tính giả thâm nhập vào các dự án mã hóa
Tiết lộ về hoạt động nội bộ của đội ngũ Hacker Triều Tiên
Gần đây, một hacker mũ trắng ẩn danh đã thành công xâm nhập vào thiết bị của một nhân viên CNTT Triều Tiên, tiết lộ nội tình về cách một đội ngũ kỹ thuật gồm năm người đã sử dụng hơn 30 danh tính giả để tiến hành hoạt động mạng. Đội ngũ này không chỉ sở hữu các giấy tờ tùy thân giả mạo mà còn thâm nhập vào các dự án phát triển khác nhau thông qua việc mua tài khoản trên các nền tảng trực tuyến.
Cơ quan điều tra đã thu thập dữ liệu lưu trữ đám mây, hồ sơ cấu hình trình duyệt và ảnh chụp thiết bị của nhóm. Tài liệu cho thấy nhóm này phụ thuộc nhiều vào bộ công cụ văn phòng của một gã khổng lồ công nghệ để phối hợp lịch làm việc, phân công nhiệm vụ và quản lý ngân sách, tất cả các giao tiếp đều được thực hiện bằng tiếng Anh.
Một báo cáo hàng tuần năm 2025 đã tiết lộ cách làm việc và những thách thức mà nhóm Hacker này phải đối mặt. Ví dụ, có thành viên đã phàn nàn "không thể hiểu yêu cầu công việc, không biết phải làm gì", trong khi giải pháp tương ứng lại là "đầu tư tâm huyết, nỗ lực gấp đôi".
Chi tiết chi tiêu của nhóm cho thấy các khoản chi của họ bao gồm mua số an sinh xã hội (SSN), tài khoản nền tảng giao dịch trực tuyến, thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính cũng như mua dịch vụ VPN/Proxy.
Một bảng tính chi tiết ghi lại thời gian tham dự và kịch bản nói chuyện của việc tham gia hội nghị với danh tính giả "Henry Zhang". Quy trình hoạt động cho thấy, những nhân viên CNTT đến từ Triều Tiên sẽ mua tài khoản trên nền tảng trực tuyến, thuê thiết bị máy tính, sau đó hoàn thành công việc thuê ngoài thông qua các công cụ điều khiển từ xa.
Cuộc điều tra cũng phát hiện một địa chỉ ví mà nhóm đã sử dụng để nhận và gửi tiền, địa chỉ này có mối liên hệ chặt chẽ trên chuỗi với sự kiện tấn công hợp đồng 680.000 USD xảy ra vào tháng 6 năm 2025. Sau đó, đã xác nhận rằng CTO của dự án bị tấn công và các nhà phát triển khác đều là những nhân viên CNTT Triều Tiên mang chứng minh thư giả. Thông qua địa chỉ này, cũng đã xác định được các nhân viên CNTT Triều Tiên khác trong các dự án bị xâm nhập.
Các ghi chép tìm kiếm và lịch sử trình duyệt của các thành viên trong nhóm đã phát hiện ra một lượng lớn bằng chứng quan trọng. Một số người có thể đặt câu hỏi làm thế nào để xác nhận rằng chúng đến từ Bắc Triều Tiên, ngoài các tài liệu giả mạo đã đề cập ở trên, lịch sử tìm kiếm của họ cũng cho thấy việc sử dụng thường xuyên các dịch vụ dịch thuật trực tuyến và sử dụng IP của Nga để dịch nội dung sang tiếng Hàn.
Hiện nay, các doanh nghiệp đang đối mặt với những thách thức chính trong việc ngăn chặn các nhân viên CNTT của Triều Tiên bao gồm:
Cuộc điều tra này cung cấp cho ngành công nghiệp một cơ hội hiếm có để chủ động vạch trần phương pháp "làm việc" của các hacker Triều Tiên, có ý nghĩa quan trọng cho việc phòng ngừa an ninh trước cho các dự án. Doanh nghiệp và cá nhân đều nên nâng cao cảnh giác, tăng cường khả năng nhận diện và phòng ngừa các mối đe dọa tiềm ẩn.