Báo cáo mới tiết lộ phạm vi đáng báo động của các hacker crypto đến từ Triều Tiên

Theo một báo cáo do Nhóm Giám sát Trừng phạt Đa phương (MSMT) công bố, các hacker có liên hệ với Triều Tiên đã đánh cắp số tài sản ảo lên tới 2.83 tỷ USD trong khoảng thời gian từ năm 2024 đến tháng 9 năm 2025.

Báo cáo nhấn mạnh rằng Bình Nhưỡng không chỉ xuất sắc trong việc trộm cắp mà còn sở hữu các phương pháp tinh vi để thanh khoản số tiền thu được bất hợp pháp.

Doanh Thu Từ Hacking Chiếm Một-Phần Ba Ngoại Tệ Quốc Gia

MSMT là một liên minh đa quốc gia gồm 11 quốc gia, bao gồm Mỹ, Hàn Quốc và Nhật Bản. Nhóm này được thành lập vào tháng 10 năm 2024 nhằm hỗ trợ thực thi các lệnh trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đối với Triều Tiên.

Theo MSMT, con số 2.83 tỷ USD bị đánh cắp từ năm 2024 đến tháng 9 năm 2025 là một số liệu quan trọng.

“Doanh thu từ việc đánh cắp tài sản ảo của Triều Tiên trong năm 2024 chiếm khoảng một phần ba tổng thu nhập ngoại tệ của quốc gia này,” nhóm cho biết.

Quy mô các vụ trộm đã tăng tốc đáng kể, với 1.64 tỷ USD bị đánh cắp chỉ riêng trong năm 2025, tăng hơn 50% so với 1.19 tỷ USD bị lấy đi trong năm 2024, mặc dù con số năm 2025 chưa bao gồm quý cuối cùng.

Vụ Hack Bybit và Tổ chức TraderTraitor

MSMT xác định vụ hack sàn giao dịch toàn cầu Bybit vào tháng 2 năm 2025 là nguyên nhân chính dẫn đến sự gia tăng doanh thu bất hợp pháp trong năm 2025. Cuộc tấn công này được cho là do TraderTraitor, một trong những tổ chức hacker tinh vi nhất của Triều Tiên, thực hiện.

Cuộc điều tra cho thấy nhóm này đã thu thập thông tin liên quan đến SafeWallet, nhà cung cấp ví đa chữ ký mà Bybit sử dụng. Sau đó, họ đã truy cập trái phép thông qua các email lừa đảo.

Họ sử dụng mã độc để truy cập vào mạng nội bộ, ngụy trang các giao dịch chuyển tài sản ra ngoài thành các giao dịch nội bộ. Điều này cho phép họ chiếm quyền kiểm soát hợp đồng thông minh của ví lạnh.

MSMT lưu ý rằng trong các vụ hack lớn trong hai năm qua, Triều Tiên thường ưu tiên nhắm mục tiêu vào các nhà cung cấp dịch vụ bên thứ ba liên kết với các sàn giao dịch, thay vì tấn công trực tiếp các sàn giao dịch.

Cơ Chế Rửa Tiền Chín Bước

MSMT đã mô tả chi tiết quy trình rửa tiền chín bước tỉ mỉ mà Triều Tiên sử dụng để chuyển đổi tài sản ảo bị đánh cắp thành tiền pháp định:

1. Kẻ tấn công hoán đổi tài sản bị đánh cắp sang các loại tiền mã hóa như ETH trên một sàn giao dịch phi tập trung (DEX).

2. Họ “trộn” số tiền này bằng các dịch vụ như Tornado Cash, Wasabi Wallet hoặc Railgun.

3. Họ chuyển đổi ETH sang BTC thông qua các dịch vụ cầu nối.

4. Họ chuyển tiền sang ví lạnh sau khi đi qua các tài khoản sàn giao dịch tập trung.

5. Họ phân tán tài sản sang các ví khác nhau sau một vòng trộn thứ hai.

6. Họ hoán đổi BTC sang TRX (Tron) bằng cầu nối và giao dịch P2P.

7. Họ chuyển đổi TRX sang stablecoin USDT.

8. Họ chuyển USDT cho một nhà môi giới Over-the-Counter (OTC).

9. Nhà môi giới OTC thanh khoản tài sản thành tiền pháp định địa phương.

Mạng Lưới Toàn Cầu Hỗ Trợ Việc Rút Tiền Mặt

Giai đoạn khó khăn nhất là chuyển đổi crypto thành tiền pháp định có thể sử dụng. Điều này được thực hiện thông qua các nhà môi giới OTC và các công ty tài chính tại các quốc gia thứ ba, bao gồm Trung Quốc, Nga và Campuchia.

Báo cáo nêu tên các cá nhân cụ thể. Bao gồm công dân Trung Quốc Ye Dinrong và Tan Yongzhi của Shenzhen Chain Element Network Technology cùng nhà giao dịch P2P Wang Yicong.

Họ bị cáo buộc đã hợp tác với các tổ chức Triều Tiên để cung cấp giấy tờ giả và hỗ trợ rửa tiền tài sản. Các trung gian Nga cũng bị liên quan đến việc thanh khoản khoảng 60 triệu USD từ vụ hack Bybit.

Hơn nữa, Huione Pay, một nhà cung cấp dịch vụ tài chính thuộc Huione Group của Campuchia, cũng được sử dụng cho hoạt động rửa tiền.

“Một công dân Triều Tiên đã duy trì mối quan hệ cá nhân với các đối tác của Huione Pay và hợp tác với họ để rút tiền mặt từ tài sản ảo vào cuối năm 2023,” MSMT cho biết.

MSMT đã bày tỏ quan ngại với chính phủ Campuchia vào tháng 10 và tháng 12 năm 2024 về các hoạt động của Huione Pay hỗ trợ các hacker mạng Triều Tiên do Liên Hợp Quốc chỉ định. Kết quả là Ngân hàng Quốc gia Campuchia đã từ chối gia hạn giấy phép thanh toán của Huione Pay; tuy nhiên, công ty này vẫn tiếp tục hoạt động tại quốc gia này.