Đoạn phim bí mật từ một chiếc laptop bị cài đặt cho thấy các điệp viên Triều Tiên đang lén lút vượt qua đội ngũ bảo mật của bạn như thế nào

Các điệp viên Triều Tiên đã bị ghi hình trực tiếp sau khi các nhà nghiên cứu an ninh dụ họ vào một “máy tính xách tay dành cho nhà phát triển” được cài bẫy, ghi lại cách nhóm liên kết với Lazarus cố gắng trà trộn vào chuỗi tuyển dụng việc làm crypto tại Mỹ bằng cách sử dụng các công cụ tuyển dụng AI hợp pháp và dịch vụ đám mây.

Sự tiến hóa trong tội phạm mạng do nhà nước bảo trợ này được cho là đã được các nhà nghiên cứu tại BCA LTD, NorthScan và nền tảng phân tích phần mềm độc hại ANY.RUN ghi lại theo thời gian thực.

Bắt giữ kẻ tấn công Triều Tiên

Hacker News đã chia sẻ cách, trong một chiến dịch phối hợp, nhóm đã triển khai một “honeypot”, tức là một môi trường giám sát được ngụy trang thành máy tính xách tay của nhà phát triển hợp pháp, để dụ nhóm Lazarus.

Đoạn phim thu được mang đến cho ngành công nghiệp cái nhìn rõ ràng nhất từ trước đến nay về cách các đơn vị Triều Tiên, cụ thể là bộ phận Famous Chollima, đang vượt qua các tường lửa truyền thống chỉ bằng cách được tuyển dụng vào bộ phận nhân sự của mục tiêu.

Chiến dịch bắt đầu khi các nhà nghiên cứu tạo ra một nhân vật nhà phát triển và chấp nhận lời mời phỏng vấn từ một nhà tuyển dụng có biệt danh “Aaron”. Thay vì triển khai một payload phần mềm độc hại tiêu chuẩn, nhà tuyển dụng này đã hướng mục tiêu đến một hình thức làm việc từ xa phổ biến trong lĩnh vực Web3.

Khi các nhà nghiên cứu cấp quyền truy cập vào “máy tính xách tay”, thực chất là một máy ảo được giám sát chặt chẽ mô phỏng một máy trạm tại Mỹ, các điệp viên không cố gắng khai thác lỗ hổng mã nguồn.

Thay vào đó, họ tập trung vào việc xây dựng hình ảnh như những nhân viên mẫu mực.

Xây dựng lòng tin

Một khi đã vào được môi trường kiểm soát, các điệp viên này đã thể hiện một quy trình làm việc tối ưu hóa cho việc hòa nhập thay vì xâm nhập.

Họ sử dụng phần mềm tự động hóa công việc hợp pháp, bao gồm Simplify Copilot và AiApply, để tạo ra các câu trả lời phỏng vấn trau chuốt và điền vào các biểu mẫu ứng tuyển trên quy mô lớn.

Việc sử dụng các công cụ năng suất phương Tây này cho thấy một sự leo thang đáng lo ngại, cho thấy các tác nhân nhà nước đang tận dụng chính công nghệ AI được thiết kế để hợp lý hóa tuyển dụng doanh nghiệp nhằm đánh bại chính nó.

Cuộc điều tra tiết lộ rằng những kẻ tấn công đã chuyển hướng lưu lượng truy cập của mình qua Astrill VPN để che giấu vị trí và sử dụng các dịch vụ dựa trên trình duyệt để xử lý mã xác thực hai yếu tố liên quan đến danh tính bị đánh cắp.

Mục tiêu cuối cùng không phải là phá hoại ngay lập tức mà là truy cập lâu dài. Các điệp viên đã cấu hình Google Remote Desktop thông qua PowerShell với một mã PIN cố định, đảm bảo họ có thể duy trì quyền kiểm soát máy ngay cả khi chủ máy cố gắng thu hồi quyền truy cập.

Vì vậy, các lệnh của họ mang tính quản trị, chạy các chẩn đoán hệ thống để xác thực phần cứng.

Về cơ bản, họ không cố gắng xâm nhập ví ngay lập tức.

Thay vào đó, người Triều Tiên tìm cách xây dựng vị thế như những người nội bộ đáng tin cậy, đặt mình vào vị trí có thể truy cập kho lưu trữ nội bộ và bảng điều khiển đám mây.

Dòng doanh thu hàng tỷ đô la

Sự việc này là một phần của một tổ hợp công nghiệp lớn hơn đã biến gian lận việc làm thành động lực doanh thu chính cho chế độ bị trừng phạt.

Nhóm Giám sát Trừng phạt Đa phương gần đây ước tính rằng các nhóm liên kết với Bình Nhưỡng đã đánh cắp khoảng 2.83 billions tài sản kỹ thuật số từ năm 2024 đến tháng 9 năm 2025.

Con số này, chiếm khoảng một phần ba thu nhập ngoại tệ của Triều Tiên, cho thấy trộm cắp mạng đã trở thành một chiến lược kinh tế quốc gia.

Hiệu quả của hình thức tấn công “lớp con người” này đã được chứng minh một cách tàn khốc vào tháng 2 năm 2025 trong vụ xâm nhập sàn giao dịch Bybit.

Trong sự cố đó, những kẻ tấn công được cho là thuộc nhóm TraderTraitor đã sử dụng thông tin đăng nhập nội bộ bị xâm phạm để ngụy trang các giao dịch chuyển tài sản ra ngoài thành các giao dịch nội bộ, cuối cùng chiếm quyền kiểm soát hợp đồng thông minh ví lạnh.

Khủng hoảng tuân thủ

Việc chuyển sang kỹ thuật xã hội đã tạo ra một cuộc khủng hoảng trách nhiệm nghiêm trọng cho ngành tài sản kỹ thuật số.

Đầu năm nay, các công ty an ninh như Huntress và Silent Push đã ghi nhận các mạng lưới công ty bình phong, bao gồm BlockNovas và SoftGlide, sở hữu đăng ký doanh nghiệp hợp pháp tại Mỹ và hồ sơ LinkedIn đáng tin cậy.

Những thực thể này đã thành công trong việc dụ các nhà phát triển cài đặt các script độc hại dưới danh nghĩa đánh giá kỹ thuật.

Đối với các cán bộ tuân thủ và Giám đốc An ninh Thông tin, thách thức đã thay đổi. Các quy trình Know Your Customer (KYC) truyền thống tập trung vào khách hàng, nhưng quy trình của Lazarus đòi hỏi một tiêu chuẩn “Biết nhân viên của bạn” nghiêm ngặt.

Bộ Tư pháp đã bắt đầu mạnh tay, tịch thu 7.74 millions liên quan đến các kế hoạch CNTT này, nhưng độ trễ phát hiện vẫn còn cao.

Như chiến dịch của BCA LTD đã chứng minh, cách duy nhất để bắt những tác nhân này có thể là chuyển từ phòng thủ thụ động sang lừa đảo chủ động, tạo ra các môi trường kiểm soát buộc các tác nhân đe dọa phải lộ kỹ năng trước khi họ được trao chìa khóa kho bạc.

Bài viết Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team xuất hiện đầu tiên trên CryptoSlate.