Đây là cách mà các hacker Triều Tiên vẫn đang nhận được tiền bằng crypto bất chấp các lệnh trừng phạt

TRM Labs cho biết các nhân viên CNTT Bắc Triều Tiên đã rửa tiền hàng triệu USD bằng USDC và USDT trong khi làm việc bí mật cho các công ty khởi nghiệp blockchain.

Triều Tiên tiếp tục dựa vào tiền điện tử để âm thầm tài trợ cho các chương trình vũ khí của mình và chính phủ Hoa Kỳ đang tăng cường nỗ lực để chấm dứt điều này. Vào ngày 8 tháng 7, Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ đã áp đặt lệnh trừng phạt đối với một hacker Triều Tiên, Song Kum Hyok, người mà họ cho rằng đã giúp tổ chức một kế hoạch rộng rãi liên quan đến những người lao động từ xa giả mạo tại các công ty công nghệ và tiền điện tử không nghi ngờ.

Theo một báo cáo gần đây từ công ty forensic blockchain TRM Labs, Song có liên quan đến Andariel, một đơn vị tội phạm mạng thuộc quân đội Bắc Triều Tiên. Họ giải thích rằng ông đã đóng vai trò quan trọng trong việc sắp xếp công việc cho các nhân viên CNTT - hầu hết trong số họ thực chất là các điệp viên Bắc Triều Tiên - vào các công ty Mỹ bằng cách sử dụng danh tính ăn cắp của người Mỹ và tài liệu giả.

Nhiều trong số những công việc này thuộc lĩnh vực web3, hạ tầng crypto, hoặc phát triển phần mềm liên quan đến blockchain.

TRM Labs cho biết những người này hoạt động từ các quốc gia như Trung Quốc và Nga trong khi giả vờ là những người tự do có trụ sở tại Mỹ. Họ được trả tiền bằng các stablecoin như USD Coin (USDC) và Tether (USDT). Từ đó, số tiền dường như đã chảy qua nhiều lớp ví, máy trộn và dịch vụ chuyển đổi trước khi đến tay chế độ Bắc Triều Tiên.

“Kho bạc cam kết sử dụng tất cả các công cụ sẵn có để làm gián đoạn nỗ lực của chế độ Kim trong việc tránh né các lệnh trừng phạt thông qua việc đánh cắp tài sản kỹ thuật số, cố gắng giả mạo người Mỹ và các cuộc tấn công mạng độc hại.”

Phó Thư ký Bộ Tài chính, Michael Faulkender

Các nhà phân tích tại TRM Labs chỉ ra rằng đây chỉ là dấu hiệu mới nhất cho thấy Cục Tình báo Tổng hợp Bắc Triều Tiên — cơ quan đứng sau Lazarus và Bluenoroff — vẫn đang sử dụng các chiến thuật mạng để hỗ trợ các mục tiêu quân sự. Các quan chức Bộ Tài chính cho biết, họ đã cảnh báo rằng việc đánh cắp tiền điện tử và gian lận danh tính vẫn là trung tâm trong chiến lược của Bắc Triều Tiên để tránh áp lực kinh tế.

Các nhà phân tích giải thích rằng kế hoạch được OFAC phát hiện phụ thuộc nhiều vào những nhân vật giả mạo. Song bị cáo buộc đã chịu trách nhiệm xây dựng những danh tính giả đó, sử dụng dữ liệu bị đánh cắp từ các công dân Mỹ thực sự. Một khi được tuyển dụng, các điệp viên Bắc Triều Tiên có thể đã làm việc trong các công ty Mỹ trong nhiều tháng hoặc thậm chí nhiều năm dưới những cái tên giả.

Họ cũng lưu ý rằng OFAC đã trừng phạt bốn công ty và một cá nhân khác có liên quan đến một mạng lưới có trụ sở tại Nga, được cho là đã giúp quản lý những công việc IT giả mạo này. Các doanh nghiệp này được báo cáo đã ký hợp đồng dài hạn với các công ty liên kết với DPRK và biết rằng họ đang giao dịch với các công nhân Bắc Triều Tiên.

Nhiều công nhân đã nhắm đến các công việc trong lĩnh vực tiền điện tử cụ thể, nơi mà việc thanh toán dễ dàng hơn để ẩn danh. Khi tiền điện tử được nhận, các nhà phân tích của TRM Labs cho biết, nó đã được phân tán qua nhiều ví và cuối cùng được chuyển đổi thành tiền fiat thông qua các nhà môi giới OTC, một số trong số họ đã từng bị trừng phạt.

Liên minh mạng

Hành động mới nhất của OFAC theo sau một loạt các động thái phối hợp của các cơ quan của Hoa Kỳ, bao gồm Bộ Tư pháp và FBI. Vào ngày 5 tháng 6 năm 2025, DOJ cũng đã đệ đơn khiếu nại tịch thu dân sự nhằm chiếm đoạt hơn 7,7 triệu USD tiền điện tử, NFT và các tài sản kỹ thuật số khác được cho là liên quan đến cùng một mạng lưới Bắc Triều Tiên.

TRM Labs cho biết các nhân viên đã sử dụng danh tính như “Joshua Palmer” và “Alex Hong” để được thuê tại các công ty khởi nghiệp tiền điện tử và các công ty công nghệ khác. Họ được trả bằng stablecoin, với số tiền được chuyển qua các sàn giao dịch tập trung, ví tự lưu trữ, và sau đó đến tay các nhân vật cấp cao của chế độ như Kim Sang Man và Sim Hyon Sop, cả hai đều đã bị Mỹ áp đặt lệnh trừng phạt.

Theo các nhà phân tích, cuộc điều tra của DOJ đã tiết lộ rằng một phần của hoạt động dựa vào cơ sở hạ tầng tại Nga và UAE. Các nhà điều tra phát hiện việc sử dụng địa chỉ IP địa phương và tài liệu giả mạo, điều này đã giúp các công nhân Bắc Triều Tiên che giấu danh tính thật của họ. Điều này, họ nói, đã nhấn mạnh mức độ quốc tế của kế hoạch này.

Hoạt động trên chuỗi liên quan đến ví của nhân viên CNTT DPRK | Nguồn: TRM LabsDữ liệu blockchain được TRM xem xét cho thấy rằng khi các quỹ đến ví cấp trung, tiền được chia thành các phần nhỏ hơn, đi qua các công cụ tăng cường quyền riêng tư, và cuối cùng được trao đổi lấy tiền fiat thông qua các quầy OTC. Một trong những nhà môi giới OTC đó đã bị OFAC trừng phạt vào cuối năm 2024.

Về các nỗ lực thực thi pháp luật, FBI và các cơ quan khác đã thành công trong việc tịch thu một phần tài sản kỹ thuật số đã được rửa tiền, bao gồm USDC, ETH và một số NFT giá trị cao. Các nhà phân tích mô tả những vụ tịch thu này là một phần của chiến lược rửa tiền rộng hơn nhằm cắt đứt dấu vết tiền và làm cho việc phát hiện trở nên khó khăn hơn nhiều.

TRM Labs cho biết hành động mới nhất của chính phủ Mỹ gửi đi một thông điệp rằng tiền điện tử vẫn là một kênh rủi ro cao cho việc lẩn tránh lệnh trừng phạt, đặc biệt là khi nói đến các hoạt động của Triều Tiên. Công ty tình báo blockchain cảnh báo rằng các công ty tuyển dụng các nhà phát triển từ xa — đặc biệt trong lĩnh vực blockchain — cần cẩn thận hơn trong việc xác minh họ thực sự đang làm việc với ai.