Một thiết bị bị xâm nhập từ một nhân viên CNTT Bắc Triều Tiên đã phơi bày hoạt động nội bộ của nhóm đứng sau vụ hack Favrr trị giá 680.000 đô la và việc họ sử dụng các công cụ của Google để nhắm mục tiêu vào các dự án tiền điện tử.
Tóm tắt
Một thiết bị bị xâm phạm thuộc về một nhân viên CNTT Triều Tiên đã phơi bày cách thức hoạt động bên trong của các tác nhân đe dọa.
Bằng chứng cho thấy các nhân viên đã sử dụng các công cụ được hỗ trợ bởi Google, AnyDesk và VPN để xâm nhập vào các công ty tiền điện tử.
Theo nhà điều tra trên chuỗi ZachXBT, dấu vết bắt đầu từ một nguồn không rõ danh tính đã truy cập vào một trong những máy tính của nhân viên, phát hiện ra các ảnh chụp màn hình, xuất khẩu Google Drive và hồ sơ Chrome, làm sáng tỏ cách mà những người điều hành lên kế hoạch và thực hiện các âm mưu của họ.
Dựa trên hoạt động của ví và đối chiếu dấu vân tay số, ZachXBT đã xác minh nguồn tài liệu và liên kết các giao dịch tiền điện tử của nhóm với vụ khai thác thị trường token người hâm mộ Favrr vào tháng 6 năm 2025. Một địa chỉ ví, “0x78e1a,” cho thấy các liên kết trực tiếp đến các khoản tiền bị đánh cắp từ sự cố này.
Bên trong hoạt động
Thiết bị bị xâm phạm cho thấy rằng nhóm nhỏ — tổng cộng sáu thành viên — đã chia sẻ ít nhất 31 danh tính giả. Để có được việc làm phát triển blockchain, họ đã thu thập các giấy tờ tùy thân do chính phủ cấp và số điện thoại, thậm chí mua tài khoản LinkedIn và Upwork để hoàn thành vỏ bọc của mình.
Một kịch bản phỏng vấn được tìm thấy trên thiết bị cho thấy họ khoe khoang về kinh nghiệm tại các công ty blockchain nổi tiếng, bao gồm Polygon Labs, OpenSea và Chainlink.
Các công cụ của Google là trung tâm trong quy trình làm việc có tổ chức của họ. Các đối tượng gây đe dọa được phát hiện đang sử dụng bảng tính drive để theo dõi ngân sách và lịch trình, trong khi Google Dịch đã giúp lấp đầy khoảng cách ngôn ngữ giữa tiếng Hàn và tiếng Anh.
Trong số thông tin được trích xuất từ thiết bị có một bảng tính cho thấy các nhân viên IT đang thuê máy tính và trả phí cho việc truy cập VPN để mua tài khoản mới cho các hoạt động của họ.
Nhóm cũng đã dựa vào các công cụ truy cập từ xa như AnyDesk, cho phép họ kiểm soát hệ thống của khách hàng mà không tiết lộ vị trí thực sự của mình. Nhật ký VPN liên kết hoạt động của họ với nhiều khu vực, che giấu địa chỉ IP của Bắc Triều Tiên.
Các phát hiện bổ sung cho thấy nhóm đang tìm kiếm cách triển khai token trên các blockchain khác nhau, tìm kiếm các công ty AI tại Châu Âu, và lập bản đồ các mục tiêu mới trong lĩnh vực tiền điện tử.
Các tác nhân đe dọa từ Triều Tiên sử dụng công việc từ xa
ZachXBT phát hiện ra cùng một mô hình được đánh dấu trong nhiều báo cáo an ninh mạng — Các nhân viên CNTT Bắc Triều Tiên nhận những công việc từ xa hợp pháp để len lỏi vào lĩnh vực tiền điện tử. Bằng cách giả làm các nhà phát triển tự do, họ có được quyền truy cập vào các kho mã, hệ thống backend và cơ sở hạ tầng ví.
Một tài liệu được phát hiện trên thiết bị là ghi chú phỏng vấn và tài liệu chuẩn bị có khả năng được giữ trên màn hình hoặc gần đó trong các cuộc gọi với nhà tuyển dụng tiềm năng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Công nhân CNTT Bắc Triều Tiên đã sử dụng hơn 30 giấy tờ giả để nhắm mục tiêu vào các công ty tiền điện tử: báo cáo
Một thiết bị bị xâm nhập từ một nhân viên CNTT Bắc Triều Tiên đã phơi bày hoạt động nội bộ của nhóm đứng sau vụ hack Favrr trị giá 680.000 đô la và việc họ sử dụng các công cụ của Google để nhắm mục tiêu vào các dự án tiền điện tử.
Tóm tắt
Theo nhà điều tra trên chuỗi ZachXBT, dấu vết bắt đầu từ một nguồn không rõ danh tính đã truy cập vào một trong những máy tính của nhân viên, phát hiện ra các ảnh chụp màn hình, xuất khẩu Google Drive và hồ sơ Chrome, làm sáng tỏ cách mà những người điều hành lên kế hoạch và thực hiện các âm mưu của họ.
Dựa trên hoạt động của ví và đối chiếu dấu vân tay số, ZachXBT đã xác minh nguồn tài liệu và liên kết các giao dịch tiền điện tử của nhóm với vụ khai thác thị trường token người hâm mộ Favrr vào tháng 6 năm 2025. Một địa chỉ ví, “0x78e1a,” cho thấy các liên kết trực tiếp đến các khoản tiền bị đánh cắp từ sự cố này.
Bên trong hoạt động
Thiết bị bị xâm phạm cho thấy rằng nhóm nhỏ — tổng cộng sáu thành viên — đã chia sẻ ít nhất 31 danh tính giả. Để có được việc làm phát triển blockchain, họ đã thu thập các giấy tờ tùy thân do chính phủ cấp và số điện thoại, thậm chí mua tài khoản LinkedIn và Upwork để hoàn thành vỏ bọc của mình.
Một kịch bản phỏng vấn được tìm thấy trên thiết bị cho thấy họ khoe khoang về kinh nghiệm tại các công ty blockchain nổi tiếng, bao gồm Polygon Labs, OpenSea và Chainlink.
Các công cụ của Google là trung tâm trong quy trình làm việc có tổ chức của họ. Các đối tượng gây đe dọa được phát hiện đang sử dụng bảng tính drive để theo dõi ngân sách và lịch trình, trong khi Google Dịch đã giúp lấp đầy khoảng cách ngôn ngữ giữa tiếng Hàn và tiếng Anh.
Trong số thông tin được trích xuất từ thiết bị có một bảng tính cho thấy các nhân viên IT đang thuê máy tính và trả phí cho việc truy cập VPN để mua tài khoản mới cho các hoạt động của họ.
Nhóm cũng đã dựa vào các công cụ truy cập từ xa như AnyDesk, cho phép họ kiểm soát hệ thống của khách hàng mà không tiết lộ vị trí thực sự của mình. Nhật ký VPN liên kết hoạt động của họ với nhiều khu vực, che giấu địa chỉ IP của Bắc Triều Tiên.
Các phát hiện bổ sung cho thấy nhóm đang tìm kiếm cách triển khai token trên các blockchain khác nhau, tìm kiếm các công ty AI tại Châu Âu, và lập bản đồ các mục tiêu mới trong lĩnh vực tiền điện tử.
Các tác nhân đe dọa từ Triều Tiên sử dụng công việc từ xa
ZachXBT phát hiện ra cùng một mô hình được đánh dấu trong nhiều báo cáo an ninh mạng — Các nhân viên CNTT Bắc Triều Tiên nhận những công việc từ xa hợp pháp để len lỏi vào lĩnh vực tiền điện tử. Bằng cách giả làm các nhà phát triển tự do, họ có được quyền truy cập vào các kho mã, hệ thống backend và cơ sở hạ tầng ví.
Một tài liệu được phát hiện trên thiết bị là ghi chú phỏng vấn và tài liệu chuẩn bị có khả năng được giữ trên màn hình hoặc gần đó trong các cuộc gọi với nhà tuyển dụng tiềm năng.