Các hacker của Bắc Triều Tiên đạt mốc đáng báo động vào năm 2025: US$2 tỷ đô la bị đánh cắp

Những hacker được Bắc Triều Tiên hậu thuẫn đã kết thúc năm 2025 với vụ thu hoạch tiền điện tử lớn nhất từ trước đến nay. Con số này không chỉ là một con số đơn thuần: 2 tỷ USD bị đánh cắp thể hiện mức tăng 51% so với năm 2024, đưa tổng cộng số tiền tích lũy của Cộng hòa Dân chủ Nhân dân Triều Tiên lên 6.750 triệu USD. Theo báo cáo mới nhất của Chainalysis, chúng ta đang chứng kiến một sự tiến triển quan trọng trong bối cảnh mối đe dọa mạng toàn cầu.

Điều làm cho các số liệu này đặc biệt đáng báo động không chỉ là quy mô, mà còn là mô hình tiềm ẩn phía sau: ít cuộc tấn công hơn, nhưng phá hoại theo cấp số nhân.

Chuyển hướng sang các cuộc tấn công quy mô thảm họa

Trong những năm trước, các tội phạm mạng phân tán mục tiêu của họ. Họ nhắm vào nhiều mục tiêu nhỏ và trung bình để tăng khối lượng. Các tác nhân của Bắc Triều Tiên đã chơi một trò chơi hoàn toàn khác vào năm 2025.

Họ chịu trách nhiệm cho 76% tất cả các vi phạm nhắm vào dịch vụ cấp doanh nghiệp, tỷ lệ cao nhất trong lịch sử ghi nhận. Điều này có nghĩa là hầu như tất cả các vụ vi phạm lớn đối với các dịch vụ mã hóa tập trung đều mang dấu ấn kỹ thuật số của Bình Nhưỡng. Trong khi các nhóm tội phạm khác chọn số lượng, các tác nhân này có đủ nguồn lực, chuyên môn và kiên nhẫn để thực hiện các hoạt động ít nhưng mang tính biểu tượng lớn.

Sự thay đổi mang tính chiến lược. Một cuộc tấn công quy mô lớn vào một nền tảng lớn tạo ra tác động địa chính trị, tạo áp lực pháp lý và làm tê liệt thị trường. Nền kinh tế tội phạm mạng của Bắc Triều Tiên đã trở thành một ngành công nghiệp.

Các máy móc kiếm tiền tinh vi: cách hoạt động của các hoạt động rửa tiền

Sau khi đánh cắp, bước tiếp theo là chuyển đổi. Và đây là nơi khả năng tinh vi hoạt động của Bắc Triều Tiên trở nên rõ ràng.

Khác với các tội phạm khác thực hiện các giao dịch lớn dễ dàng theo dõi chuỗi, các tác nhân này phân mảnh các chuyển động của họ thành các phần nhỏ cẩn thận, thường dưới 500.000 USD. Đây là một trò chơi kiên nhẫn: nhiều giao dịch nhỏ thay vì một giao dịch lớn rõ ràng.

Các ví liên kết với Bắc Triều Tiên cho thấy sự phụ thuộc đáng kể vào ba kênh cụ thể:

Dịch vụ trao đổi bằng tiếng Trung - Các nền tảng khu vực hoạt động như các cổng vào địa phương
Cầu nối phi tập trung và dịch vụ trộn - Các công cụ kỹ thuật phá vỡ khả năng truy vết của quỹ
Bảo đảm và trung gian khu vực - Các trung gian giúp chuyển đổi thành tiền mặt

Lưu ý những gì không họ sử dụng: các giao thức DeFi, các sàn giao dịch phi tập trung, các nền tảng peer-to-peer. Lý do rõ ràng: hạn chế về cấu trúc và phụ thuộc vào các nhà trung gian khu vực cụ thể thay vì truy cập toàn bộ hạ tầng tài chính toàn cầu.

Phân tích theo thời gian của Chainalysis tiết lộ một mô hình đáng ngạc nhiên: các vụ đánh cắp lớn theo sau một cửa sổ rửa tiền khoảng 45 ngày. Trong khoảng thời gian đó, quỹ đi qua các giai đoạn khác nhau, từ che giấu ngay lập tức đến tích hợp cuối cùng. Mặc dù không phải lúc nào cũng đúng, nhưng tính nhất quán của dòng thời gian này giữa nhiều hoạt động cho thấy các quy trình được tiêu chuẩn hóa cao.

Trí tuệ nhân tạo như siêu năng lực tội phạm

Làm thế nào Bắc Triều Tiên thực hiện quy mô hoạt động này với độ chính xác như vậy? Câu trả lời, theo Andrew Fierman, trưởng bộ phận tình báo an ninh quốc gia tại Chainalysis, chỉ ra một yếu tố then chốt: trí tuệ nhân tạo.

“Bắc Triều Tiên hỗ trợ việc rửa tiền từ các vụ trộm tiền điện tử một cách nhất quán và trôi chảy, cho thấy việc sử dụng AI,” ông giải thích. Cơ chế rửa tiền cấu trúc quỹ qua các bộ trộn, cầu nối và các giao thức từ giai đoạn ban đầu, tạo ra một dòng công việc kết hợp nhiều công cụ chuyển đổi.

“Để thực hiện hiệu quả như vậy khi đánh cắp khối lượng lớn, Bắc Triều Tiên cần một mạng lưới rửa tiền quy mô lớn cùng các cơ chế tối ưu, có thể thể hiện qua việc sử dụng AI.”

Điều này không phải là hoang tưởng công nghệ. Đó là một quan sát về hạ tầng hoạt động: tốc độ chuyển đổi, độ chính xác của các khoản tiền, tính nhất quán theo thời gian và mức độ tinh vi của an ninh hoạt động phù hợp với tự động hóa thông minh.

Một bức tranh đối lập về các mối đe dọa mạng

Trong khi đó, phần còn lại của bối cảnh tội phạm crypto cho thấy một sự đối lập thú vị. Các khoản cam kết ví cá nhân chỉ chiếm 20% tổng giá trị bị đánh cắp trong năm 2025, giảm từ 44% trong năm 2024. Mặc dù số vụ tấn công vào người dùng cá nhân tăng lên 158.000, nhưng giá trị trung bình mỗi nạn nhân giảm 52% còn 713 triệu USD tổng cộng.

Dịch ra: các hacker đang nhắm vào nhiều người hơn nhưng đánh cắp ít hơn từ mỗi người.

Bắc Triều Tiên nằm ở phía đối lập của phổ: các vụ trộm quy mô lớn hiếm gặp nhưng thảm khốc. Phần lớn các nhóm hoạt động nơi có khối lượng mục tiêu nhỏ. Các tác nhân của Bắc Triều Tiên hoạt động nơi có tác động tối đa.

Điều này có ý nghĩa gì cho tương lai

Khi năm 2025 khép lại và tiến tới năm 2026, các nỗ lực của Bắc Triều Tiên trong các vụ hack tiền điện tử không cho thấy dấu hiệu giảm. Dữ liệu gợi ý một môi trường mối đe dọa ngày càng phân cực: trộm cắp giá trị thấp vào cá nhân ở một phía, các vụ vi phạm hiếm nhưng tàn phá ở cấp dịch vụ ở phía còn lại, với Bắc Triều Tiên chắc chắn nằm ở trung tâm của những điều cuối cùng này.

Đối với các nhóm tuân thủ và thực thi pháp luật, các phát hiện này cung cấp một ngọn hải đăng: cửa sổ 45 ngày rửa tiền cung cấp một cơ hội tạm thời để chặn các quỹ trước khi chuyển đổi cuối cùng. Nhưng điều này đòi hỏi sự phối hợp nhanh chóng giữa các nền tảng, các khu vực pháp lý và các nhà phân tích chuyên môn.

Đối với các nền tảng tiền điện tử, thông điệp rõ ràng: khi kẻ tấn công là một quốc gia - chính phủ với nguồn lực công nghiệp về an ninh mạng và truy cập trí tuệ nhân tạo, các biện pháp phòng thủ truyền thống có thể không đủ.