Theo tổ chức an ninh mạng Silent Push, hai công ty Blocknovas LLC và Softglide LLC được Nhóm Lazarus của Triều Tiên thành lập nhằm mục đích tấn công mạng.
Nhiều nhà phát triển tiền mã hóa đã trở thành nạn nhân của chiến dịch tấn công có nguồn gốc từ Triều Tiên. Các tin tặc đã sử dụng những công ty ma tại Mỹ làm vỏ bọc cho hoạt động của mình.
Theo báo cáo từ Reuters, hai công ty giả mạo là Blocknovas LLC và Softglide LLC được tạo ra bởi các điệp viên mạng Triều Tiên nhằm cài đặt phần mềm độc hại vào thiết bị của các nhà phát triển trong ngành tiền mã hóa.
Công ty an ninh mạng Silent Push của Mỹ cho biết, những công ty giả mạo này nằm dưới sự kiểm soát của một nhóm hacker thuộc Nhóm Lazarus của Triều Tiên – một bộ phận của Cục Tình báo Tổng hợp, cơ quan tình báo đối ngoại chính của Bình Nhưỡng. Các công ty này được thành lập tại New Mexico và New York bằng thông tin giả mạo, vi phạm lệnh trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài và Liên Hợp Quốc.
Một công ty thứ ba, Angeloper Agency, cũng được Silent Push liên kết với chiến dịch này, nhưng dường như không được đăng ký tại Mỹ.
Vào hôm thứ Năm, FBI đã đặt thông báo thu giữ trên trang web của Blocknovas, trong đó nêu rõ trang web này bị thu giữ “như một phần của hành động thực thi pháp luật chống lại các Tác nhân Mạng Triều Tiên đã sử dụng tên miền này để lừa đảo cá nhân với các bài đăng việc làm giả mạo và phân phối phần mềm độc hại.”
Các cuộc tấn công sử dụng những nhân vật giả mạo để đề nghị phỏng vấn việc làm, sau đó triển khai “phần mềm độc hại tinh vi” nhằm xâm nhập ví tiền mã hóa, lấy cắp mật khẩu và đánh cắp thông tin đăng nhập.
Theo Silent Push, đã có “nhiều nạn nhân” của chiến dịch này, với Blocknovas là công ty hoạt động tích cực nhất trong hai công ty nói trên.
🚨 NEW THREAT REPORT: Contagious Interview (DPRK) Launches a New Campaign Creating Three Front Companies to Deliver a Trio of Malware: BeaverTail, InvisibleFerret, and OtterCookie.
— Silent Push (@silentpush) April 24, 2025
Full investigation: https://t.co/dbHLifojdZ
Các chiến dịch lừa đảo
Đây chỉ là ví dụ mới nhất về các hoạt động mạng của Triều Tiên, được một quan chức FBI mô tả là “có lẽ là một trong những mối đe dọa dai dẳng tiên tiến nhất” đối với Hoa Kỳ.
Nhóm Lazarus của Triều Tiên, đơn vị chịu trách nhiệm về vụ tấn công sàn giao dịch tiền mã hóa Bybit trị giá 1,4 tỷ USD vào tháng 2, hiện được cho là đang mở rộng sang các chiến dịch lừa đảo nhắm vào ngành công nghiệp tiền mã hóa.
Đầu tháng này, Kenny Li, đồng sáng lập Manta đã trở thành mục tiêu của một nỗ lực lừa đảo mang dấu hiệu đặc trưng của Nhóm Lazarus, sử dụng cuộc gọi Zoom giả mạo làm phương tiện phân phối phần mềm độc hại. Và một báo cáo gần đây của GTIG cho thấy các nhân viên IT Triều Tiên đang xâm nhập vào các đội ngũ trên khắp Mỹ, Anh, Đức và Serbia, sử dụng hồ sơ giả và tài liệu giả mạo để giả danh các nhà phát triển hợp pháp.
FBI cho biết họ tiếp tục “tập trung vào việc áp đặt rủi ro và hậu quả, không chỉ đối với bản thân các tác nhân CHDCND Triều Tiên, mà còn đối với bất kỳ ai tạo điều kiện cho khả năng thực hiện các kế hoạch này của họ.”
Ngành công nghiệp tiền số đang phải đối mặt với các mối đe dọa an ninh mạng ngày càng tinh vi, đòi hỏi sự cảnh giác cao độ từ các nhà phát triển và doanh nghiệp.