Nguyễn Tiến Đạt
Intern Writer
Một vụ tấn công mạng quy mô lớn nhằm vào nền tảng tiền điện tử Drift, gây thiệt hại lên tới 285 triệu USD, được xác định là kết quả của một chiến dịch kỹ thuật xã hội tinh vi kéo dài suốt sáu tháng, với nghi vấn đứng sau là các nhóm tin tặc do Triều Tiên bảo trợ.
Theo thông tin từ Drift, cuộc tấn công xảy ra ngày 1/4/2026 không phải là hành động đơn lẻ mà là đỉnh điểm của một quá trình thâm nhập được chuẩn bị kỹ lưỡng từ mùa thu năm 2025. Nhóm bị nghi ngờ là thủ phạm mang mã UNC4736, còn được biết đến với nhiều tên gọi khác như AppleJeus hay Golden Chollima – những cái tên vốn đã gắn liền với nhiều vụ tấn công vào lĩnh vực tiền điện tử trong những năm gần đây.
Drift cho biết các dấu hiệu điều tra cho thấy mối liên hệ rõ ràng cả về dòng tiền trên blockchain lẫn phương thức hoạt động, tương đồng với các vụ tấn công trước đó, bao gồm vụ hack nền tảng Radiant Capital năm 2024. Nhóm này được cho là đã nhắm vào các công ty fintech nhỏ trên toàn cầu nhằm tạo nguồn thu ổn định phục vụ cho các chương trình quân sự của Triều Tiên.
Điểm đáng chú ý trong vụ việc là cách thức triển khai tấn công mang đậm yếu tố “kỹ thuật xã hội” – tức thao túng con người thay vì chỉ khai thác lỗ hổng kỹ thuật. Các đối tượng đã giả danh một công ty giao dịch tài chính, chủ động tiếp cận và xây dựng mối quan hệ với các cộng tác viên của Drift tại nhiều hội nghị tiền điện tử quốc tế.
Trong suốt nhiều tháng, nhóm này duy trì liên lạc, trao đổi chuyên sâu về chiến lược và hợp tác kỹ thuật, thậm chí còn đầu tư hơn 1 triệu USD vào hệ sinh thái của Drift để tạo dựng lòng tin. Những tương tác này được đánh giá là rất chuyên nghiệp và khó phân biệt với các đối tác hợp pháp.
Sau khi thiết lập được sự tin tưởng, các tin tặc đã triển khai nhiều phương thức xâm nhập. Một trong số đó là dụ nạn nhân tải về các dự án phần mềm độc hại, được ngụy trang dưới dạng công cụ phát triển. Các mã độc có thể tự động kích hoạt khi mở dự án, từ đó chiếm quyền kiểm soát hệ thống.
Ngoài ra, một số trường hợp khác được cho là đã bị thuyết phục cài đặt ứng dụng ví điện tử giả mạo thông qua nền tảng thử nghiệm, tạo điều kiện cho tin tặc tiếp cận dữ liệu nhạy cảm và tài sản số.
Giới chuyên gia nhận định đây là minh chứng cho xu hướng ngày càng tinh vi của các chiến dịch tấn công mạng có tổ chức. Thay vì chỉ dựa vào công nghệ, các nhóm tin tặc đang kết hợp chặt chẽ giữa yếu tố kỹ thuật và tâm lý để đạt hiệu quả cao hơn.
Các báo cáo gần đây cũng cho thấy hệ sinh thái tấn công mạng của Triều Tiên đã phát triển theo hướng phân mảnh, với các nhóm chuyên trách từng nhiệm vụ cụ thể như gián điệp, tạo nguồn tài chính hoặc phá hoại. Cách tiếp cận này giúp tăng khả năng né tránh và gây khó khăn cho việc truy vết.
Bên cạnh đó, các chiến dịch lừa đảo tuyển dụng và “phỏng vấn giả” tiếp tục là công cụ phổ biến. Tin tặc thường giả danh nhà tuyển dụng, yêu cầu ứng viên thực hiện các bài kiểm tra có chứa mã độc, hoặc thậm chí cài cắm nhân sự giả vào doanh nghiệp để đánh cắp dữ liệu từ bên trong.
Vụ việc Drift một lần nữa cho thấy các nền tảng tiền điện tử vẫn là mục tiêu hàng đầu của tội phạm mạng quốc gia. Khi ranh giới giữa tấn công kỹ thuật và thao túng con người ngày càng bị xóa nhòa, nguy cơ đối với các tổ chức tài chính số được dự báo sẽ còn tiếp tục gia tăng trong thời gian tới.
Theo thông tin từ Drift, cuộc tấn công xảy ra ngày 1/4/2026 không phải là hành động đơn lẻ mà là đỉnh điểm của một quá trình thâm nhập được chuẩn bị kỹ lưỡng từ mùa thu năm 2025. Nhóm bị nghi ngờ là thủ phạm mang mã UNC4736, còn được biết đến với nhiều tên gọi khác như AppleJeus hay Golden Chollima – những cái tên vốn đã gắn liền với nhiều vụ tấn công vào lĩnh vực tiền điện tử trong những năm gần đây.
Drift cho biết các dấu hiệu điều tra cho thấy mối liên hệ rõ ràng cả về dòng tiền trên blockchain lẫn phương thức hoạt động, tương đồng với các vụ tấn công trước đó, bao gồm vụ hack nền tảng Radiant Capital năm 2024. Nhóm này được cho là đã nhắm vào các công ty fintech nhỏ trên toàn cầu nhằm tạo nguồn thu ổn định phục vụ cho các chương trình quân sự của Triều Tiên.
Điểm đáng chú ý trong vụ việc là cách thức triển khai tấn công mang đậm yếu tố “kỹ thuật xã hội” – tức thao túng con người thay vì chỉ khai thác lỗ hổng kỹ thuật. Các đối tượng đã giả danh một công ty giao dịch tài chính, chủ động tiếp cận và xây dựng mối quan hệ với các cộng tác viên của Drift tại nhiều hội nghị tiền điện tử quốc tế.
Trong suốt nhiều tháng, nhóm này duy trì liên lạc, trao đổi chuyên sâu về chiến lược và hợp tác kỹ thuật, thậm chí còn đầu tư hơn 1 triệu USD vào hệ sinh thái của Drift để tạo dựng lòng tin. Những tương tác này được đánh giá là rất chuyên nghiệp và khó phân biệt với các đối tác hợp pháp.
Sau khi thiết lập được sự tin tưởng, các tin tặc đã triển khai nhiều phương thức xâm nhập. Một trong số đó là dụ nạn nhân tải về các dự án phần mềm độc hại, được ngụy trang dưới dạng công cụ phát triển. Các mã độc có thể tự động kích hoạt khi mở dự án, từ đó chiếm quyền kiểm soát hệ thống.
Ngoài ra, một số trường hợp khác được cho là đã bị thuyết phục cài đặt ứng dụng ví điện tử giả mạo thông qua nền tảng thử nghiệm, tạo điều kiện cho tin tặc tiếp cận dữ liệu nhạy cảm và tài sản số.
Giới chuyên gia nhận định đây là minh chứng cho xu hướng ngày càng tinh vi của các chiến dịch tấn công mạng có tổ chức. Thay vì chỉ dựa vào công nghệ, các nhóm tin tặc đang kết hợp chặt chẽ giữa yếu tố kỹ thuật và tâm lý để đạt hiệu quả cao hơn.
Các báo cáo gần đây cũng cho thấy hệ sinh thái tấn công mạng của Triều Tiên đã phát triển theo hướng phân mảnh, với các nhóm chuyên trách từng nhiệm vụ cụ thể như gián điệp, tạo nguồn tài chính hoặc phá hoại. Cách tiếp cận này giúp tăng khả năng né tránh và gây khó khăn cho việc truy vết.
Bên cạnh đó, các chiến dịch lừa đảo tuyển dụng và “phỏng vấn giả” tiếp tục là công cụ phổ biến. Tin tặc thường giả danh nhà tuyển dụng, yêu cầu ứng viên thực hiện các bài kiểm tra có chứa mã độc, hoặc thậm chí cài cắm nhân sự giả vào doanh nghiệp để đánh cắp dữ liệu từ bên trong.
Vụ việc Drift một lần nữa cho thấy các nền tảng tiền điện tử vẫn là mục tiêu hàng đầu của tội phạm mạng quốc gia. Khi ranh giới giữa tấn công kỹ thuật và thao túng con người ngày càng bị xóa nhòa, nguy cơ đối với các tổ chức tài chính số được dự báo sẽ còn tiếp tục gia tăng trong thời gian tới.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
