Khách hàng có giá trị ròng cao mà bạn gặp tại hội nghị có thể là "lính đánh thuê" của hacker Triều Tiên

Tác giả gốc: Nicky, Foresight News

Gần đây, Drift Protocol đã công bố kết quả điều tra mới nhất về vụ tấn công, chỉ ra rằng hoạt động này do cùng một tác nhân đe dọa thực hiện với vụ tấn công Radiant Capital vào tháng 10 năm 2024, với dòng tiền trên chuỗi và phương thức hoạt động trùng khớp cao. Công ty an ninh Mandiant từng quy trách nhiệm vụ tấn công Radiant Capital cho UNC4736, một tổ chức có liên quan đến chính phủ Triều Tiên.

Sau sự kiện tấn công Drift, hacker đã tích lũy nắm giữ 130,293 ETH, trị giá khoảng 266 triệu USD. Sự kiện này ảnh hưởng đến 20 giao thức, bao gồm Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0, v.v. Trong đó, Prime Numbers Fi ước tính thiệt hại hơn 10 triệu USD, Gauntlet khoảng 6.4 triệu USD, Neutral Trade khoảng 3.67 triệu USD, Elemental DeFi khoảng 2.9 triệu USD. Elemental bày tỏ hy vọng nhận được một phần bồi thường từ Drift.

Trong tuyên bố, Drift cho biết vụ tấn công này là một âm mưu được lên kế hoạch kỹ lưỡng kéo dài sáu tháng. Vào mùa thu năm 2025, một nhóm người tự xưng là công ty giao dịch định lượng đã tiếp cận các cộng tác viên của Drift tại một hội nghị tiền mã hóa lớn. Dựa trên thời gian, tác giả tổng hợp rằng các hội nghị tiền mã hóa lớn trong khoảng thời gian đó bao gồm Korea Blockchain Week 2025 (từ ngày 22 đến 28 tháng 9 năm 2025, tổ chức tại Seoul), TOKEN2049 Singapore (từ ngày 1 đến 2 tháng 10, tổ chức tại Singapore), Binance Blockchain Week Dubai 2025 (từ ngày 30 đến 31 tháng 10, tổ chức tại Dubai), Solana Breakpoint Dubai (từ ngày 20 đến 21 tháng 11, tổ chức tại Dubai), v.v.

Drift chính thức tuyên bố rằng họ có kỹ năng cao, sở hữu nền tảng nghề nghiệp có thể xác minh và rất quen thuộc với cách thức hoạt động của Drift. Hai bên đã thành lập một nhóm Telegram, và trong vài tháng sau đó đã có các cuộc đối thoại thực chất xoay quanh chiến lược giao dịch và tích hợp kho bạc.

Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm người này chính thức đăng ký một kho bạc hệ sinh thái trên Drift, điền vào biểu mẫu chi tiết chiến lược theo yêu cầu. Họ đã có nhiều cuộc thảo luận công việc với nhiều cộng tác viên, đặt ra các câu hỏi sản phẩm chi tiết và gửi vào hơn 1 triệu USD vốn tự có. Thông qua các thao tác kiên nhẫn và có trật tự, họ đã thiết lập một sự hiện diện kinh doanh đầy đủ chức năng bên trong hệ sinh thái Drift.

Các cuộc thảo luận tích hợp tiếp tục cho đến tháng 3 năm nay. Nhiều cộng tác viên của Drift đã gặp mặt trực tiếp những người này một lần nữa tại nhiều hội nghị quốc tế. Lúc này, hai bên đã thiết lập mối quan hệ hợp tác gần nửa năm, đối phương không còn là người lạ mà là đối tác đã cùng làm việc. Trong thời gian đó, đối phương đã chia sẻ các liên kết đến các dự án, công cụ và ứng dụng mà họ tuyên bố đang xây dựng, điều này là thông lệ phổ biến trong các công ty giao dịch.

Sau khi vụ tấn công xảy ra vào ngày 2 tháng 4, các nhà điều tra đã tiến hành xem xét pháp y toàn diện các thiết bị, tài khoản và hồ sơ liên lạc bị ảnh hưởng đã biết, và tương tác với nhóm giao dịch này trở thành con đường xâm nhập có khả năng cao nhất. Đồng thời với vụ tấn công, lịch sử trò chuyện Telegram và phần mềm độc hại của đối phương đã bị xóa sạch hoàn toàn.

Điều tra cho thấy kẻ tấn công có thể đã xâm nhập vào thiết bị của cộng tác viên Drift thông qua ba cách. Một cộng tác viên có thể đã bị xâm nhập sau khi sao chép kho mã được nhóm này chia sẻ, kho mã này được ngụy trang thành giao diện người dùng để triển khai kho bạc của họ. Một cộng tác viên khác bị dụ tải xuống một ứng dụng TestFlight mà đối phương tuyên bố là sản phẩm ví của họ. Đối với con đường xâm nhập qua kho mã, cộng đồng an ninh đã nhiều lần cảnh báo từ tháng 12 năm 2025 đến tháng 2 năm 2026 về các lỗ hổng đã biết trong VSCode và Cursor, chỉ cần mở một tệp, thư mục hoặc kho mã trong trình chỉnh sửa là có thể thực thi mã tùy ý một cách âm thầm, mà không cần người dùng nhấp chuột hoặc bất kỳ lời nhắc nào. Phân tích pháp y hoàn chỉnh cho phần cứng bị ảnh hưởng vẫn đang được tiến hành.

Hoạt động này do cùng một tác nhân đe dọa thực hiện với vụ tấn công Radiant Capital vào tháng 10 năm 2024. Mandiant quy kết vụ tấn công Radiant cho UNC4736, một tổ chức được nhà nước Triều Tiên hậu thuẫn, còn được gọi là AppleJeus hoặc Citrine Sleet. Việc quy kết dựa trên hai khía cạnh: dòng tiền trên chuỗi cho thấy số tiền dùng để lên kế hoạch và thử nghiệm hoạt động này có thể truy nguyên đến kẻ tấn công Radiant; ở cấp độ hoạt động, danh tính ngụy trang được sử dụng trong hoạt động này có sự trùng lặp có thể nhận dạng với các hoạt động có liên quan đến Triều Tiên đã biết.

Drift chỉ ra rằng cá nhân thực sự xuất hiện tại các cuộc họp trực tiếp không phải là người Triều Tiên. Các tác nhân đe dọa cấp cao của Triều Tiên như vậy thường sử dụng người trung gian bên thứ ba để thiết lập mối quan hệ trực tiếp.

UNC4736 là một cụm tác nhân đe dọa được Mandiant theo dõi, được đánh giá với độ tin cậy cao là thuộc Tổng cục Trinh sát Triều Tiên. Tổ chức này đã liên tục nhắm mục tiêu vào ngành công nghiệp tiền mã hóa và fintech kể từ năm 2018, đánh cắp tài sản kỹ thuật số thông qua các cuộc tấn công chuỗi cung ứng, kỹ thuật xã hội, phân phối phần mềm độc hại, v.v.

Các vụ tấn công lớn đã biết của họ bao gồm cuộc tấn công chuỗi cung ứng 3CX vào tháng 3 năm 2023, vụ đánh cắp khoảng 50 triệu USD từ Radiant Capital vào năm 2024, và vụ tấn công Drift khoảng 285 triệu USD lần này. Tính theo số liệu thống kê có sẵn, tổ chức này đã đánh cắp tổng cộng khoảng 335 triệu USD.

Cụm này được coi rộng rãi là một cụm con của Lazarus Group, tập trung vào tội phạm mạng có động cơ tài chính. Lazarus Group đã đánh cắp khoảng 1.5 tỷ USD tài sản từ Bybit vào tháng 2 năm 2025, trở thành vụ trộm đơn lẻ lớn nhất trong lịch sử tiền mã hóa.

Nguồn ảnh: SotaMedia

Lazarus Group là một cụm tác nhân đe dọa mạng được nhà nước Triều Tiên hậu thuẫn, thuộc Tổng cục Trinh sát, bao gồm nhiều cụm con như UNC4736 (tức AppleJeus/Citrine Sleet), TraderTraitor, v.v. Theo thống kê của Chainalysis, hacker Triều Tiên đã đánh cắp tổng cộng khoảng 6.75 tỷ USD tiền mã hóa thông qua các cụm như Lazarus, chỉ riêng năm 2025 đã hơn 2 tỷ USD.

Tổ chức này đã gây ra nhiều vụ tấn công chấn động toàn cầu: Sony Pictures Entertainment bị phá hoại năm 2014, Ngân hàng Trung ương Bangladesh bị đánh cắp 81 triệu USD năm 2016, mã độc tống tiền WannaCry hoành hành toàn cầu năm 2017, Ronin Bridge và Harmony Horizon Bridge lần lượt bị mất 620 triệu và 100 triệu USD năm 2022, Atomic Wallet và Stake liên tiếp bị tấn công năm 2023. Tháng 10 năm 2024, UNC4736 tấn công Radiant Capital đánh cắp 50 triệu USD; tháng 2 năm 2025, TraderTraitor đánh cắp kỷ lục 1.5 tỷ USD từ Bybit; tháng 4 năm 2026, hoàn thành vụ tấn công 285 triệu USD vào Drift Protocol.

Lazarus đã đẩy tổng số tiền mã hóa bị Triều Tiên đánh cắp lên 6.75 tỷ USD. Phương thức tấn công đã chuyển từ phá hoại thời kỳ đầu sang thâm nhập lâu dài, kỹ thuật xã hội, tấn công chuỗi cung ứng, thâm nhập hợp đồng thông minh độc hại / đa chữ ký, v.v.

Tuyên bố của Drift viết rằng, điều tra cho thấy danh tính được sử dụng trong hoạt động nhắm mục tiêu của bên thứ ba có lý lịch cá nhân và nghề nghiệp hoàn chỉnh, bao gồm kinh nghiệm làm việc, bằng cấp công khai và mạng lưới chuyên nghiệp. Những người mà các cộng tác viên Drift gặp trực tiếp đã dành nhiều tháng để xây dựng hồ sơ danh tính có thể chịu được sự kiểm tra lý lịch trong bối cảnh hợp tác kinh doanh.

Nhà nghiên cứu an ninh Taylor Monahan trước đây cho biết, ít nhất bảy năm qua, các nhân viên IT Triều Tiên đã thâm nhập vào các công ty tiền mã hóa và dự án DeFi, với hơn 40 nền tảng DeFi có sự tham gia của nhân viên IT Triều Tiên ở các giai đoạn khác nhau. Sự kiện Drift càng cho thấy, kẻ tấn công đã phát triển từ thâm nhập xin việc từ xa sang các hoạt động tình báo nhắm mục tiêu trực tiếp, kéo dài hàng tháng trời.

Drift cho biết sẽ tiếp tục hợp tác với cơ quan thực thi pháp luật, đối tác pháp y và các nhóm trong hệ sinh thái, nhiều chi tiết hơn sẽ được công bố sau khi hoàn tất điều tra. Tất cả các chức năng giao thức còn lại đã bị đóng băng, ví bị đánh cắp đã bị loại khỏi đa chữ ký, địa chỉ của kẻ tấn công đã được đánh dấu tại các sàn giao dịch và nhà điều hành cầu nối chuỗi chéo.