Nhóm Lazarus: Cách các tin tặc Triều Tiên đánh cắp tiền điện tử
Một nhóm tin tặc đã đánh cắp lượng tiền điện tử nhiều hơn bất kỳ ai trong lịch sử. Điều đáng chú ý là nhóm này lại làm việc cho chính phủ. Nhóm Lazarus là tổ chức tin tặc nhà nước của Triều Tiên, và đối với họ, việc đánh cắp tiền điện tử không phải là việc làm thêm. Đó là công việc chính, một nguồn thu quốc gia với lương bổng ổn định. Theo tiêu chuẩn của họ, trong một năm tốt nhất, nhóm này đã rút hơn hai tỷ đô la từ các sàn giao dịch, cầu nối và ví điện tử thông thường. Hầu hết số tiền đó biến mất trước khi bất kỳ ai báo cáo.
Hướng dẫn này sẽ đề cập đến việc họ là ai, những vụ cướp lớn nhất có liên quan đến họ, cách một vụ tấn công diễn ra, cách thức rửa tiền và số tiền đã biến mất. Trọng tâm vẫn là tiền điện tử. Đó là nơi câu chuyện này tập trung vào.
Nhóm Lazarus thực sự là ai?
Hãy quên đi hình ảnh một hacker đơn độc mặc áo hoodie. Nhóm Lazarus giống một cơ quan chính phủ với đội ngũ nhân viên được trả lương đầy đủ. Các cơ quan phương Tây liên kết nhóm này với Cục Tình báo Tổng hợp Triều Tiên, cơ quan tình báo nước ngoài chính của nước này, và với các đơn vị đôi khi được gọi là Cục 121. Các nhà nghiên cứu an ninh mạng theo dõi nhóm này như một nhóm đe dọa duy nhất, mặc dù trên thực tế, nó là một cụm các nhóm điều hành các hoạt động tấn công mạng của chính phủ Triều Tiên. Những người đứng sau bàn phím được đào tạo bài bản, được trả lương và giao nhiệm vụ cụ thể, và danh sách mục tiêu của họ được nhà nước thiết lập.
Nhóm này có nhiều tên gọi khác nhau tùy thuộc vào người viết báo cáo: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Các nhà phân tích chia nhóm thành các đội nhỏ với nhiệm vụ khác nhau. BlueNoroff nhắm vào các ngân hàng và công ty tiền điện tử để đòi tiền, Andariel tập trung vào hoạt động gián điệp và gây rối, còn nhóm Lazarus rộng lớn hơn đảm nhiệm các cuộc tấn công gây chú ý. Nhóm này đã hoạt động dưới nhiều hình thức khác nhau kể từ khoảng năm 2009, điều này khiến nó trở thành một trong những nhóm tin tặc hoạt động lâu nhất và có động cơ tài chính mạnh mẽ nhất trên thế giới.
Điều khiến Lazarus khác biệt so với hầu hết các nhóm tin tặc nhà nước là động cơ. Nga và Trung Quốc chủ yếu hoạt động gián điệp. Triều Tiên đánh cắp thông tin để tài trợ cho chính mình. Vào tháng 9 năm 2019, Bộ Tài chính Hoa Kỳ chính thức trừng phạt Lazarus và hai nhóm liên quan, BlueNoroff và Andariel, coi chúng là cánh tay nối dài của nhà nước Triều Tiên. Một công ty an ninh đã tóm tắt nhóm này một cách ngắn gọn: một tổ chức tội phạm có vũ trang.
Từ Sony đến WannaCry: Những năm đầu tiên
Trước khi bước chân vào lĩnh vực tiền điện tử, Lazarus đã tạo dựng tên tuổi bằng sự hỗn loạn. Vụ tấn công năm 2014 vào Sony Pictures Entertainment, do Guardians of Peace sản xuất, đã xóa sạch hệ thống, làm rò rỉ các bộ phim chưa phát hành và tiết lộ nhiều năm email nội bộ. Mục đích rõ ràng? Một bộ phim hài chế giễu nhà lãnh đạo Triều Tiên. Ồn ào, mang tính chính trị, phá hoại. Nhưng chưa mang lại lợi nhuận.
Tiếp theo là vấn đề tiền bạc. Năm 2016, nhóm này suýt nữa đã thực hiện một trong những vụ cướp ngân hàng lớn nhất từ trước đến nay, bằng cách gửi các tin nhắn SWIFT giả mạo để rút 951 triệu đô la từ tài khoản của Ngân hàng Bangladesh tại Cục Dự trữ Liên bang New York. Một lỗi đánh máy và một chút may mắn đã khiến phần lớn vụ việc thất bại. Khoảng 81 triệu đô la vẫn bị mất. Cuộc tấn công mạng đó đã chứng minh rằng Lazarus có thể cướp các tổ chức tài chính chỉ bằng bàn phím, và nó đã biến tội phạm mạng do nhà nước điều hành thành một nguồn lợi nhuận thực sự.
Rồi đến WannaCry năm 2017, một loại sâu máy tính mã độc tống tiền đã làm tê liệt hàng trăm nghìn máy tính trên khoảng 150 quốc gia và làm sập các bệnh viện ở Anh. Nó hoạt động cẩu thả và hầu như không thu được lợi nhuận gì. Nhưng nó cho thấy tầm ảnh hưởng của mình. Vì vậy, khi tiền điện tử trưởng thành, Lazarus đã có cả thập kỷ kinh nghiệm trong việc chuyển tiền mà nó không có quyền động tới.
Vì sao tin tặc Triều Tiên lại nhắm mục tiêu vào tiền điện tử?
Đối với một chế độ bị cô lập khỏi hệ thống ngân hàng toàn cầu, tiền điện tử lại quá tiện lợi. Các lệnh trừng phạt có thể đóng băng tài khoản ngân hàng và chặn chuyển khoản SWIFT, nhưng không ai có thể ngăn ví điện tử nhận tiền. Tiền điện tử di chuyển xuyên biên giới trong vài phút, được thanh toán không thể đảo ngược và có thể được chuyển qua các công cụ được thiết kế để xóa dấu vết.
Vì vậy, Triều Tiên đã chuyển hướng. Tại sao phải mạo hiểm một vụ cướp ngân hàng mà chỉ cần một cuộc điện thoại là có thể đảo ngược tình thế, trong khi việc khai thác lỗ hổng cầu nối lại mang lại lợi nhuận gấp mười lần và không thể thu hồi lại? Lợi ích kinh tế nghiêng hẳn về phía kẻ tấn công. Một giao dịch chuyển khoản SWIFT thất bại sẽ bị đóng băng và hoàn trả; còn việc rút tiền thành công qua cầu nối sẽ là quyết định cuối cùng ngay khi khối lệnh được xác nhận. Không có đối tác nào để liên lạc, không có khoản hoàn trả, không có tòa án nào có thẩm quyền đối với ví điện tử. Các nhà điều tra và Liên Hợp Quốc hiện ước tính rằng tiền điện tử bị đánh cắp chiếm một phần lớn thu nhập ngoại tệ của đất nước và một phần đáng kể trong chương trình vũ khí của họ, mặc dù những tỷ lệ phần trăm chính xác đó đến từ các đánh giá tình báo chứ không phải từ các nguồn công khai.
Những vụ cướp tiền điện tử lớn nhất của Lazarus Group
Những con số này đã không còn giống như những vụ phạm tội nữa. Chúng giống như một ngân sách quốc gia. Vụ trộm lớn nhất từ trước đến nay, vụ tấn công mạng Bybit, lớn hơn tổng số vụ trộm tiếp theo cộng lại và lớn hơn bất kỳ vụ cướp ngân hàng nào không liên quan đến tiền điện tử trong lịch sử.
| Vụ cướp | Ngày | Số lượng | Phương pháp |
|---|---|---|---|
| Bybit | Tháng 2 năm 2025 | ~1,5 tỷ đô la | Giao diện ký đa chữ ký bị thao túng |
| Cầu Ronin (Axie) | Tháng 3 năm 2022 | ~625 triệu đô la | Khóa riêng tư của trình xác thực bị đánh cắp |
| DMM Bitcoin | Tháng 5 năm 2024 | ~308 triệu đô la | Nhà tuyển dụng giả mạo, nhân viên bị mua chuộc. |
| WazirX | Tháng 7 năm 2024 | ~235 triệu đô la | Vi phạm cơ sở hạ tầng ví |
| Chân trời hài hòa | Tháng 6 năm 2022 | Khoảng 100 triệu đô la | Các chìa khóa cầu bị xâm phạm |
| Ví nguyên tử | Tháng 6 năm 2023 | >100 triệu đô la | Cập nhật phần mềm độc hại |
Quan sát kỹ hơn, bạn sẽ thấy những điểm yếu tương tự cứ liên tục xuất hiện. Vụ trộm Ronin thành công vì những kẻ tấn công đã giành được quyền kiểm soát năm trong số chín khóa xác thực bảo mật cầu nối, đủ để phê duyệt các giao dịch rút tiền của chính chúng, sau khi xâm nhập vào một kỹ sư cấp cao. Vụ Bybit tinh vi hơn: thay vì phá vỡ ví lạnh , những kẻ tấn công đã làm hỏng giao diện mà người ký nhìn thấy, do đó nhóm đã phê duyệt một giao dịch chuyển khoản trông có vẻ bình thường nhưng thực chất lại không phải vậy. Trong cả hai trường hợp, mã hóa vẫn hoạt động tốt. Nhưng con người và phần mềm xung quanh nó thì không.
Số tiền thiệt hại khác nhau tùy thuộc vào nguồn thông tin vì chúng thường được neo vào giá của token vào ngày đó, và Lazarus thường nhắm vào các tài sản dễ biến động như Ether. Con số thiệt hại của Ronin dao động từ khoảng 540 triệu đến 625 triệu đô la tùy thuộc vào nguồn thống kê, còn Bybit được ước tính từ 1,4 đến 1,5 tỷ đô la. Mô hình chung là nhất quán: nhắm vào các cầu nối , sàn giao dịch tiền điện tử và phần mềm ví điện tử, những điểm nghẽn mà chỉ cần một sự cố nhỏ cũng có thể dẫn đến mất cả gia tài.
Diễn biến vụ tấn công mạng vào Lazarus Group
Điều khiến mọi người ngạc nhiên là ở chỗ này. Những vụ trộm phá kỷ lục này hiếm khi bắt đầu bằng một thủ đoạn tinh vi, không thể ngăn chặn. Chúng bắt đầu bằng việc một người bị lừa. Phần tinh vi, không thể đảo ngược nằm ở sau đó, khi số tiền phải biến mất.
Cách thức xâm nhập: việc làm giả và lừa đảo trực tuyến
Lazarus rất kiên nhẫn và giỏi giao tiếp. Chiến thuật lâu năm của chúng, thường được gọi là Chiến dịch Việc làm Mơ ước, là giả danh nhà tuyển dụng trên LinkedIn hoặc trong cộng đồng lập trình viên và đưa ra một vị trí mơ ước tại một công ty nghe có vẻ đáng tin cậy. Trong quá trình phỏng vấn, một "bài kiểm tra lập trình" hoặc một tệp PDF sẽ xuất hiện, và việc mở nó sẽ cài đặt phần mềm độc hại. Vụ trộm Bitcoin DMM được cho là bắt đầu chính xác theo cách này, với một nhà tuyển dụng giả mạo đã xâm nhập vào hệ thống của một nhân viên tại một công ty có liên hệ. Phương pháp tương tự đã được nhắm vào các lập trình viên trong toàn ngành thông qua các gói npm cài bẫy và kho lưu trữ GitHub được ngụy trang thành các mẫu công việc hợp pháp. Không có tường lửa nào có thể ngăn chặn một kỹ sư được cho biết tệp đó là một bài tập công việc, đó chính là lý do tại sao kỹ thuật xã hội, chứ không phải một lỗ hổng bảo mật không thể phá vỡ, lại mở ra hầu hết các cánh cửa này.
Những người giả danh nhân viên IT bên trong tòa nhà
Chiêu trò mới thậm chí còn táo bạo hơn: thay vì đột nhập, Triều Tiên lại xin việc. Hàng nghìn nhân viên CNTT của họ đã giả làm lập trình viên làm việc từ xa, sử dụng danh tính người Mỹ bị đánh cắp và các trung tâm máy tính xách tay do các đối tác địa phương điều hành, khiến người lao động trông như đang đăng nhập từ Texas chứ không phải từ Bình Nhưỡng. Sau khi được tuyển dụng vào các công ty công nghệ và tiền điện tử phương Tây, họ chuyển tiền lương về nước và đôi khi cài đặt quyền truy cập để phục vụ cho việc đánh cắp sau này. Bộ Tư pháp Hoa Kỳ đã truy tố cả hai phía của kế hoạch này, bao gồm vụ kiện tháng 12 năm 2024 buộc tội 14 người Triều Tiên và các hành động năm 2025 chống lại các đối tác có trụ sở tại Hoa Kỳ đã cung cấp máy tính xách tay. Đó là hoạt động gián điệp được ngụy trang dưới hình thức ghi nhận lương.
Rút tiền mặt: các bộ trộn và cầu nối
Việc đánh cắp tiền điện tử chỉ là một nửa công việc; nửa khó hơn là tiêu xài nó. Lazarus sử dụng các nguồn tiền đánh cắp được thông qua các bộ trộn tiền như Tornado Cash, bị Mỹ trừng phạt năm 2022, và Sinbad, bị trừng phạt vào cuối năm 2023, sau đó chuyển tiền qua các chuỗi khối thông qua các cầu nối và hoán đổi giữa các tài sản để làm mờ dấu vết trước khi rút tiền mặt thông qua các sàn giao dịch có kiểm tra yếu. Quá trình này diễn ra nhanh chóng và tự động; sau vụ Bybit, các nhà điều tra đã chứng kiến số tiền phân tán qua hàng trăm ví chỉ trong vài giờ. Đây là hoạt động rửa tiền quy mô công nghiệp, và nó hoạt động đủ thường xuyên để chế độ này tiếp tục thực hiện.
Tập đoàn Lazarus đã biển thủ bao nhiêu tiền?
Nhìn nhận tổng quan, con số này thật khó tin. Theo Chainalysis , các hacker liên kết với Triều Tiên đã đánh cắp khoảng 2,02 tỷ đô la tiền điện tử trong năm 2025, tăng 51% so với năm trước, đẩy tổng số tiền bị đánh cắp lên hơn 6,75 tỷ đô la. Năm 2025, quốc gia này chiếm khoảng 76% tổng giá trị tiền điện tử bị đánh cắp trên toàn thế giới. Chỉ một quốc gia thôi đã gây ra ba phần tư thiệt hại.
| Giai đoạn | Bị đánh cắp (mật mã) | Nguồn |
|---|---|---|
| 2024 (đã được chính phủ xác nhận) | ~659 triệu đô la | Tuyên bố chung của Mỹ/Nhật Bản/Hàn Quốc |
| 2024 (ghi rõ nguồn đầy đủ) | ~1,19 tỷ đô la | Chainalysis / Mandiant |
| 2025 | ~2,02 tỷ đô la | Phân tích chuỗi |
| Mọi thời đại (giới hạn dưới) | ~6,75 tỷ đô la | Phân tích chuỗi |
Số liệu năm 2024 không khớp nhau vì chúng đo lường những thứ khác nhau: các chính phủ xác nhận một số vụ trộm cụ thể, trong khi các công ty phân tích cho rằng nhiều vụ hơn được thực hiện thông qua việc truy vết trên chuỗi khối. Dù sao thì xu hướng cũng đang tăng lên. Một báo cáo của Hội đồng Chuyên gia Liên Hợp Quốc đã thống kê khoảng 58 vụ tấn công tiền điện tử bị nghi ngờ do Triều Tiên thực hiện, trị giá khoảng 3 tỷ đô la từ năm 2017 đến năm 2023, trước khi các kỷ lục năm 2024 và 2025 được thiết lập. Cơ quan này cũng báo cáo rằng số tiền này giúp tài trợ cho chương trình vũ khí của Triều Tiên, một tuyên bố dựa trên thông tin tình báo của các quốc gia thành viên chứ không phải từ các báo cáo đã được kiểm toán, nhưng điều này lại định hình lại mọi vụ xâm phạm sàn giao dịch như một sự kiện địa chính trị.
Các biện pháp trừng phạt, cáo trạng và phản ứng
Vậy thì thực sự ai có thể làm gì về chuyện này? Chỉ đích danh họ, trừng phạt họ, truy tố họ. Bắt giữ họ thì hầu như không bao giờ, vì họ đang ngồi ở Bình Nhưỡng.
Hồ sơ vụ việc giờ đã dài dằng dặc. Bộ Tài chính đã đưa Lazarus vào danh sách đen từ năm 2019, sau đó truy tố các công ty cung cấp dịch vụ trộn tiền mà nó dựa vào, như Tornado Cash và Sinbad. Các công tố viên cũng vào cuộc, buộc tội các hacker có tên tuổi từ năm 2021 và gần đây là những người điều hành đường dây giả mạo nhân viên IT. Chúc may mắn khi thực thi các lệnh bắt giữ.
Việc lấy lại tiền còn hiếm hơn nữa. Sau vụ trộm Ronin, các nhà điều tra đã thu hồi được một phần tiền với sự giúp đỡ của FBI và Chainalysis. Chỉ một phần nhỏ thôi. Phần còn lại đã biến mất. Và các lệnh trừng phạt thường chỉ làm vấn đề chuyển hướng: đưa Tornado Cash vào danh sách đen thì tiền lại chảy về tay Sinbad; trừng phạt Sinbad thì nhóm này lại tìm được mục tiêu tiếp theo. Mỗi động thái đều khiến việc thu hồi tiền trở nên tốn kém và khó khăn hơn. Không gì có thể ngăn chặn được vụ trộm tận gốc. Bạn không thể dẫn độ một chính phủ.
Liệu nhóm Lazarus có thể bị ngăn chặn?
Thành thật mà nói, chỉ trừng phạt thôi thì chưa đủ. Phòng thủ thực sự quan trọng diễn ra trước khi xảy ra vi phạm, và trách nhiệm thuộc về các sàn giao dịch và người dùng chứ không phải các công tố viên. Điều đó có nghĩa là cần có sự phê duyệt được thực thi bằng phần cứng đối với các giao dịch chuyển tiền lớn, coi những người tuyển dụng không được yêu cầu là mối đe dọa chứ không phải là cơ hội, và không cho phép một chiếc máy tính xách tay bị xâm nhập ký tên để chiếm đoạt toàn bộ kho bạc. Điều đó cũng có nghĩa là phải xác minh những gì bạn thực sự đang ký chứ không chỉ tin tưởng vào màn hình, chính là lỗ hổng đã khiến Bybit mất hơn một tỷ đô la. Sự bất đối xứng là rất tàn khốc: người phòng thủ phải luôn đúng, trong khi Lazarus chỉ cần một kỹ sư để mở một tập tin. Mục tiêu thực tế không phải là loại bỏ nhóm này mà là làm cho mỗi vụ trộm chậm hơn, nhỏ hơn và khó rửa tiền hơn, để không còn cơ hội khai thác hàng tỷ đô la tiếp theo nữa.
Vì sao Lazarus Group lại quan trọng đối với tiền điện tử
Lazarus đã lấy những đặc điểm mà tiền điện tử tự hào nhất – tính không biên giới và không thể đảo ngược – và biến chúng thành công cụ tài trợ cho nhà nước. Bài học khó chịu ở đây là: thiết kế giải phóng tiền khỏi ngân hàng cũng đồng thời giải phóng nó khỏi sự thu hồi. An ninh tiền điện tử không còn chỉ là mối quan tâm cá nhân về khóa riêng của bạn; nó đã trở thành vấn đề an ninh quốc gia của nhiều quốc gia cùng một lúc. Mỗi cầu nối chưa được kiểm toán và mỗi sàn giao dịch với các biện pháp kiểm soát lỏng lẻo đều là một khoản mục tiềm năng trong ngân sách tên lửa. Câu hỏi đáng suy ngẫm là làm thế nào một hệ thống tài chính mở, không cần cấp phép có thể tự bảo vệ mình trước một đối thủ kiên nhẫn, được tài trợ tốt, coi hành vi trộm cắp quy mô lớn là vấn đề chính sách đối ngoại.
