Hacker Triều Tiên đánh cắp hơn 2 tỷ USD crypto trong năm 2025

Các hacker đến từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), đã đánh cắp tổng cộng 2,02 tỷ USD crypto kể từ đầu năm 2025, theo báo cáo do Chainalysis công bố hôm thứ Năm.

Con số này tăng 51% so với năm 2024 và trở thành mức cao nhất từng được ghi nhận đối với các vụ trộm crypto có liên quan đến Triều Tiên. Tổng giá trị crypto bị đánh cắp trên toàn thị trường trong năm nay đạt khoảng 3,4 tỷ USD, đồng nghĩa các cuộc tấn công do hacker DPRK thực hiện chiếm tới 59% tổng thiệt hại.

Chainalysis cho rằng dữ liệu phản ánh một sự “tiến hóa” trong chiến lược của hacker Triều Tiên: số vụ tấn công giảm, nhưng mức độ thiệt hại của mỗi vụ lại tăng mạnh. Vụ hack Bybit trị giá 1,5 tỷ USD hồi tháng 2, mà FBI xác định có liên quan đến DPRK, được xem là ví dụ điển hình cho xu hướng này.

Theo Chainalysis, sự thay đổi này đặt ra yêu cầu cấp thiết đối với ngành crypto trong việc tăng cường bảo vệ các mục tiêu có giá trị lớn, đồng thời cải thiện khả năng phát hiện các mô hình rửa tiền đặc thù của hacker Triều Tiên. Báo cáo nhấn mạnh rằng các nhóm này có xu hướng sử dụng những loại dịch vụ và quy mô giao dịch nhất định, tạo ra dấu vết on-chain riêng biệt, giúp phân biệt họ với các hacker và tội phạm mạng khác.

Mô hình rửa tiền ba giai đoạn

Chainalysis cho biết họ đã xác định được một mô hình rửa tiền đặc trưng kéo dài khoảng 45 ngày, gồm ba giai đoạn, thường xuyên được hacker Triều Tiên áp dụng. Các dấu hiệu bao gồm việc sử dụng các dịch vụ có ngôn ngữ tiếng Trung, phụ thuộc nhiều vào bridge tài sản giữa các blockchain nhằm gây nhiễu hoạt động truy vết, cũng như gia tăng sử dụng các dịch vụ trộn crypto. Mô hình này đã xuất hiện liên tục trong nhiều năm và đủ cơ sở để liên kết các cuộc tấn công với DPRK.

Theo Chainalysis, trong nhiều trường hợp, crypto bị đánh cắp được sử dụng trực tiếp để tài trợ cho các chương trình vũ khí hủy diệt hàng loạt của Triều Tiên. Andrew Fierman, Trưởng bộ phận tình báo an ninh quốc gia tại Chainalysis, cho biết các báo cáo gần đây đã chỉ ra rằng số tiền này được dùng để mua sắm nhiều loại khí tài, từ xe bọc thép cho đến các hệ thống tên lửa phòng không vác vai.

Dữ liệu lịch sử cho thấy mức độ leo thang rõ rệt. Năm 2023, hacker liên kết với Triều Tiên đã đánh cắp khoảng 660,5 triệu USD thông qua 20 vụ tấn công. Sang năm 2024, con số này tăng lên 1,34 tỷ USD qua 47 vụ, tương đương mức tăng gần 103% về giá trị bị chiếm đoạt.

Xâm nhập từ nội bộ và chuỗi cung ứng phần mềm

Ngày càng nhiều cuộc tấn công xuất phát từ các hacker được thuê hoặc tìm cách được tuyển dụng vào các công ty crypto. Sau khi giành được quyền truy cập đặc quyền, các đối tượng này sẽ đánh cắp dữ liệu quan trọng hoặc trực tiếp chiếm đoạt tài sản.

Binance cho biết hacker Triều Tiên tìm cách ứng tuyển vào sàn giao dịch này gần như mỗi ngày. Giám đốc an ninh Jimmy Su tiết lộ rằng các đối tượng thậm chí còn sử dụng video trực tiếp do AI tạo ra và công cụ biến đổi giọng nói trong các cuộc phỏng vấn. Binance đã xác định được nhiều dấu hiệu nhận diện đặc trưng và chia sẻ thông tin này với các sàn giao dịch khác thông qua Telegram và Signal.

Ngoài ra, hacker Triều Tiên còn bị phát hiện cài mã độc vào các gói thư viện mã nguồn mở trên NPM – những thư viện được sử dụng phổ biến trong giới lập trình. Binance thừa nhận mối đe dọa này và cho biết các lập trình viên buộc phải rà soát cực kỳ kỹ lưỡng từng thư viện trước khi tích hợp vào hệ thống.

Một báo cáo khác từ ReversingLabs cho thấy hai gói mã nguồn mở sử dụng smart contract Ethereum để tải mã độc, nằm trong một chiến dịch tấn công tinh vi thông qua các thư viện blockchain bị đầu độc – một vector tấn công mà Binance trước đó từng liên hệ trực tiếp với hacker Triều Tiên.

Cảnh báo cho năm 2026

Chainalysis cảnh báo rằng khi Triều Tiên tiếp tục sử dụng crypto bị đánh cắp để tài trợ cho các ưu tiên chiến lược của nhà nước và né tránh các lệnh trừng phạt quốc tế, ngành crypto cần nhận thức rõ rằng đây là một nhóm hacker hoạt động theo những quy tắc hoàn toàn khác so với tội phạm mạng thông thường.

Báo cáo kết luận rằng kỷ lục trong năm 2025 — đạt được dù số vụ tấn công được ghi nhận giảm tới 74% — cho thấy thị trường có thể mới chỉ nhìn thấy phần nổi của mối đe dọa. Thách thức lớn nhất trong năm 2026 sẽ là phát hiện và ngăn chặn các chiến dịch quy mô lớn trước khi hacker liên kết với DPRK gây ra thêm những sự cố mang tầm vóc tương đương Bybit.