ZachXBT vạch trần 21 lập trình viên Bắc Triều Tiên kiếm 500.000 USD mỗi tháng

Nhà điều tra blockchain ZachXBT vừa phát hiện ra một mạng lưới phức tạp của các lập trình viên Bắc Triều Tiên kiếm được tới 500.000 USD mỗi tháng từ các dự án crypto “đã được thành lập”.

Trong một bài đăng ngày 15 tháng 8 trên X, ZachXBT thông báo với 618.000 người theo dõi rằng ông tin rằng một “thực thể duy nhất ở châu Á,” có khả năng hoạt động từ Bắc Triều Tiên, đang nhận được 300.000 đến 500.000 USD mỗi tháng bằng cách sử dụng ít nhất 21 nhân viên cho hơn 25 dự án crypto.

“Gần đây một nhóm đã liên hệ với tôi để nhờ giúp đỡ sau khi 1,3 triệu USD bị đánh cắp từ kho bạc sau khi mã độc hại đã được đẩy lên,” ZachXBT nói.

“Không biết rằng nhóm đã thuê nhiều nhân viên IT của DPRK làm devs sử dụng danh tính giả.” ZachXBT cáo buộc rằng 1,3 triệu USD mới nhất bị đánh cắp bởi các nhân viên DPRK đã được rửa tiền thông qua một chuỗi giao dịch, bao gồm chuyển đến một địa chỉ trộm cắp và kết thúc với 16,5 Ether (ETH) chuyển đến hai sàn giao dịch khác nhau.

Sau khi điều tra thêm về các devs này, ZachXBT tin rằng họ là một phần của một mạng lưới rộng lớn hơn nhiều.

Theo dõi nhiều địa chỉ thanh toán, ông phát hiện một cụm các nhà phát triển nhận được “375.000 USD trong tháng qua,” và các giao dịch trước đó tổng cộng 5,5 triệu USD, đã chảy vào một địa chỉ gửi tiền của sàn giao dịch từ tháng 7 năm 2023 đến một thời điểm nào đó trong năm 2024.

Các khoản thanh toán này sau đó được liên kết với các nhân viên IT ở Bắc Triều Tiên, và một cá nhân tên là Sim Hyon Sop — người đã bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) trừng phạt vì bị cáo buộc điều phối các chuyển khoản tài chính cuối cùng hỗ trợ cho các chương trình vũ khí của Bắc Triều Tiên.

ZachXBT cho biết cuộc điều tra của ông đã phát hiện các địa chỉ thanh toán khác có liên quan chặt chẽ đến một cá nhân khác bị OFAC trừng phạt, Sang Man Kim, người đã liên quan đến tội phạm mạng liên quan đến DPRK trong quá khứ.

Cơ quan thực thi pháp luật Hoa Kỳ tin rằng Kim “liên quan đến việc trả lương cho các thành viên gia đình của các đoàn công nhân DPRK ở nước ngoài của Chinyong” và nhận được 2 triệu USD trong crypto để bán thiết bị IT cho các đội liên kết với DPRK ở Trung Quốc và Nga.

ZachXBT cũng phát hiện các trường hợp trùng lặp IP của viễn thông Nga giữa các nhà phát triển tuyên bố đang ở Hoa Kỳ và Malaysia. Ít nhất một trong số các nhân viên “vô tình tiết lộ danh tính khác của họ trên một notepad.”

Một số devs mà ông tìm thấy thậm chí còn được đặt bởi các công ty tuyển dụng và trong một số trường hợp, giới thiệu nhau cho công việc.

“Một số đội ngũ có kinh nghiệm đã thuê các devs này nên không công bằng khi đổ lỗi cho họ,” ZachXBT nói.

“Ngay sau khi đăng bài, một dự án khác phát hiện họ đã thuê một trong những nhân viên IT của DPRK (Naoki Murano) được liệt kê trong bảng của tôi và chia sẻ bài đăng của tôi trong cuộc trò chuyện của họ. Ngay lập tức trong vòng hai phút, Naoki rời khỏi cuộc trò chuyện và xóa GitHub của mình.” Các tổ chức liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) được cho là đứng sau một số cuộc tấn công mạng và các vụ lừa đảo khác trong những năm qua. Phương thức hoạt động của tội phạm mạng của họ thường liên quan đến phishing, khai thác lỗ hổng phần mềm, xâm nhập mạng, khai thác khóa riêng tư và thâm nhập trực tiếp. Được hiểu rằng một số cũng làm các công việc này để tạo ra thu nhập sau đó gửi về nước.

Năm 2022, các Bộ Tư pháp, Ngoại giao và Tài chính Hoa Kỳ đã đưa ra một cảnh báo chung về sự gia tăng của các công nhân Bắc Triều Tiên vào các công việc công nghệ tự do khác nhau, đặc biệt là crypto.

Có thể nói, nhóm nổi tiếng nhất liên quan đến vương quốc ẩn dật này, Lazarus Group, được cho là đã đánh cắp hơn 3 tỷ USD tài sản crypto trong sáu năm dẫn đến năm 2023.

Chain Việt Nam