Gần đây, một hacker mũ trắng ẩn danh đã thành công xâm nhập vào thiết bị của một nhân viên IT Triều Tiên, tiết lộ nội dung bên trong về cách một nhóm kỹ thuật gồm năm người đã sử dụng hơn 30 danh tính giả để hoạt động. Nhóm này không chỉ sở hữu các giấy tờ tùy thân giả mạo do chính phủ cấp, mà còn thâm nhập vào các dự án phát triển bằng cách mua tài khoản trên nền tảng trực tuyến.
Các điều tra viên đã lấy được dữ liệu ổ đĩa đám mây, hồ sơ cấu hình trình duyệt và ảnh chụp thiết bị của nhóm này. Dữ liệu cho thấy nhóm này phụ thuộc cao vào một loạt công cụ của một công ty công cụ tìm kiếm để phối hợp lịch làm việc, phân bổ nhiệm vụ và quản lý ngân sách, tất cả các giao tiếp đều được thực hiện bằng tiếng Anh.
Một báo cáo hàng tuần năm 2025 đã tiết lộ cách làm việc của nhóm hacker này và những thách thức mà họ phải đối mặt. Ví dụ, có thành viên đã phản ánh "không thể hiểu yêu cầu công việc, không biết phải làm gì", trong khi giải pháp tương ứng lại là "đầu tư tâm huyết, nỗ lực gấp đôi".
Bảng ghi chép chi tiêu cho thấy, các hạng mục chi tiêu của họ bao gồm việc mua số an sinh xã hội (SSN), giao dịch tài khoản nền tảng trực tuyến, thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính và mua sắm dịch vụ VPN và proxy.
Một bảng điện tử chi tiết ghi lại lịch trình và kịch bản nói chuyện của việc tham gia cuộc họp với danh tính giả "Henry Zhang". Quy trình hoạt động cho thấy, các công nhân CNTT Bắc Triều Tiên sẽ trước tiên mua tài khoản nền tảng trực tuyến, thuê thiết bị máy tính, sau đó hoàn thành công việc gia công thông qua công cụ điều khiển từ xa.
Một trong những địa chỉ ví mà họ sử dụng để gửi và nhận tiền có mối liên hệ chặt chẽ với một sự kiện tấn công giao thức xảy ra vào tháng 6 năm 2025. Sau đó, đã xác nhận rằng CTO của giao thức và các nhà phát triển khác đều là những người lao động CNTT đến từ Triều Tiên với giấy tờ giả. Qua địa chỉ này, cũng đã xác định được các nhân viên CNTT Triều Tiên từ những dự án thâm nhập khác.
Đội ngũ đã phát hiện ra một số bằng chứng quan trọng trong hồ sơ tìm kiếm và lịch sử trình duyệt của họ. Ngoài các tài liệu giả mạo đã đề cập ở trên, lịch sử tìm kiếm của họ còn cho thấy việc sử dụng thường xuyên các công cụ dịch trực tuyến và sử dụng IP của Nga để dịch nội dung sang tiếng Hàn.
Hiện tại, các doanh nghiệp đang đối mặt với những thách thức chính trong việc ngăn chặn các nhân viên CNTT của Triều Tiên bao gồm:
Thiếu sự hợp tác hệ thống: Thiếu cơ chế chia sẻ và hợp tác thông tin hiệu quả giữa nhà cung cấp dịch vụ nền tảng và doanh nghiệp tư nhân;
Bên tuyển dụng không chú ý: Nhóm nhân sự thường có thái độ phòng thủ sau khi nhận được cảnh báo rủi ro, thậm chí từ chối hợp tác điều tra;
Lợi thế về số lượng: Mặc dù các phương pháp kỹ thuật không phức tạp, nhưng nhờ vào cơ sở người tìm việc lớn, họ vẫn tiếp tục thâm nhập vào thị trường lao động toàn cầu;
Kênh chuyển đổi tiền: Một số nền tảng thanh toán thường xuyên được sử dụng để chuyển đổi thu nhập bằng tiền pháp định từ công việc phát triển sang tiền điện tử.
Những phát hiện này có ý nghĩa tích cực nhất định đối với việc bảo vệ an ninh trước cho các dự án trong ngành, cung cấp cho chúng tôi cơ hội hiểu biết về phương pháp "làm việc" của hacker Triều Tiên từ góc độ chủ động.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Khám phá nhóm Hacker IT Bắc Triều Tiên: Hơn 30 danh tính giả xâm nhập các dự án phát triển toàn cầu
Gần đây, một hacker mũ trắng ẩn danh đã thành công xâm nhập vào thiết bị của một nhân viên IT Triều Tiên, tiết lộ nội dung bên trong về cách một nhóm kỹ thuật gồm năm người đã sử dụng hơn 30 danh tính giả để hoạt động. Nhóm này không chỉ sở hữu các giấy tờ tùy thân giả mạo do chính phủ cấp, mà còn thâm nhập vào các dự án phát triển bằng cách mua tài khoản trên nền tảng trực tuyến.
Các điều tra viên đã lấy được dữ liệu ổ đĩa đám mây, hồ sơ cấu hình trình duyệt và ảnh chụp thiết bị của nhóm này. Dữ liệu cho thấy nhóm này phụ thuộc cao vào một loạt công cụ của một công ty công cụ tìm kiếm để phối hợp lịch làm việc, phân bổ nhiệm vụ và quản lý ngân sách, tất cả các giao tiếp đều được thực hiện bằng tiếng Anh.
Một báo cáo hàng tuần năm 2025 đã tiết lộ cách làm việc của nhóm hacker này và những thách thức mà họ phải đối mặt. Ví dụ, có thành viên đã phản ánh "không thể hiểu yêu cầu công việc, không biết phải làm gì", trong khi giải pháp tương ứng lại là "đầu tư tâm huyết, nỗ lực gấp đôi".
Bảng ghi chép chi tiêu cho thấy, các hạng mục chi tiêu của họ bao gồm việc mua số an sinh xã hội (SSN), giao dịch tài khoản nền tảng trực tuyến, thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính và mua sắm dịch vụ VPN và proxy.
Một bảng điện tử chi tiết ghi lại lịch trình và kịch bản nói chuyện của việc tham gia cuộc họp với danh tính giả "Henry Zhang". Quy trình hoạt động cho thấy, các công nhân CNTT Bắc Triều Tiên sẽ trước tiên mua tài khoản nền tảng trực tuyến, thuê thiết bị máy tính, sau đó hoàn thành công việc gia công thông qua công cụ điều khiển từ xa.
Một trong những địa chỉ ví mà họ sử dụng để gửi và nhận tiền có mối liên hệ chặt chẽ với một sự kiện tấn công giao thức xảy ra vào tháng 6 năm 2025. Sau đó, đã xác nhận rằng CTO của giao thức và các nhà phát triển khác đều là những người lao động CNTT đến từ Triều Tiên với giấy tờ giả. Qua địa chỉ này, cũng đã xác định được các nhân viên CNTT Triều Tiên từ những dự án thâm nhập khác.
Đội ngũ đã phát hiện ra một số bằng chứng quan trọng trong hồ sơ tìm kiếm và lịch sử trình duyệt của họ. Ngoài các tài liệu giả mạo đã đề cập ở trên, lịch sử tìm kiếm của họ còn cho thấy việc sử dụng thường xuyên các công cụ dịch trực tuyến và sử dụng IP của Nga để dịch nội dung sang tiếng Hàn.
Hiện tại, các doanh nghiệp đang đối mặt với những thách thức chính trong việc ngăn chặn các nhân viên CNTT của Triều Tiên bao gồm:
Những phát hiện này có ý nghĩa tích cực nhất định đối với việc bảo vệ an ninh trước cho các dự án trong ngành, cung cấp cho chúng tôi cơ hội hiểu biết về phương pháp "làm việc" của hacker Triều Tiên từ góc độ chủ động.