Khi các nhà tuyển dụng của các công ty CNTT của Hoa Kỳ đã biết cách nhận ra khi ứng viên giả mạo nộp đơn xin việc CNTT từ xa, những tác nhận này chủ yếu là để đánh cắp bí mật thương mại và kiếm tiền mang về Triều Tiên, một phần nhỏ còn lại là thực hiện các hoạt động đáp trả tăng cường.

Theo các nhà nghiên cứu về các mối đe dọa của Sophos, có "sự gia tăng các âm mưu của tin tặc núp bóng nhân viên nhắm vào các công ty châu Âu và Nhật Bản", mà còn có bằng chứng mới cho thấy nhóm này đã điều chỉnh các nhân vật của mình để tránh bị phát hiện.

Chuyên gian Sophos cho biết, "hình thức tuyển dụng từ xa khiến việc phát hiện mối đe đến từ CNTT Triều Tiên trở nên khó khăn hơn", đồng thời các âm mưu này cũng đã "mở rộng sang các ngành công nghiệp ngoài công nghệ".

Theo ghi nhận, chiến dịch lừa đảo của tin tặc đến từ Triều Tiên có tên là “Wagemole”, được các nhà nghiên cứu bảo mật phát hiện vào năm 2023, nhưng đã hoạt động từ năm 2018.

Việc Nickel Tapestry mở rộng chiến thuật cũng như hướng mục tiêu tấn công vào nhiều quốc gia khác nhau là do các doanh nghiệp Hoa Kỳ đã nhận biết về nhóm này và các cơ quan thực thi pháp luật đang triển khai các biện pháp khắc chế chúng.

Các chiến thuật và kỹ thuật đang phát triển

Các tác nhân đe dọa liên quan đến Nickel Tapestry hiện điều hành nhiều “trang trại máy tính xách tay” và sử dụng danh tính “đánh cắp hoặc làm giả” của các nhân viên thuộc các công ty tại Hoa Kỳ để thực hiện các âm mưu của mình. Nhóm tin tặc này đã bắt đầu mạo danh "các chuyên gia đến từ Việt Nam, Nhật Bản và Singapore" để xâm nhập vào cả thị trường việc làm Hoa Kỳ và Nhật Bản.

Chuyên gia của Sophos cho biết, trước đây nhóm tin tặc Nickel Tapestry tập trung tìm kiếm các vị trí công việc đòi hỏi “kỹ năng phát triển phần mềm web và blockchain, ứng tuyển vào nhiều ngành công nghiệp khác nhau”. Nhưng vào năm 2025, nhóm này dường như đã mở rộng phạm vi tìm kiếm việc làm đến lĩnh vực an ninh mạng và ngày càng có nhiều tin tặc giả mạo là phụ nữ để tìm kiếm việc làm.

Để tạo ra một nhóm ứng viên giả mạo, " tin tặc thường chỉnh sửa ảnh kỹ thuật số, thêm chúng vào sơ yếu lý lịch giả mạo và hồ sơ LinkedIn", thường bằng cách chồng ảnh có sẵn với hình ảnh thật của chính họ.

Hơn nữa, Nickel Tapestry đã thêm AI tạo sinh vào hộp công cụ tin tặc của mình, sử dụng công nghệ để viết, chỉnh sửa hình ảnh và xây dựng sơ yếu lý lịch.

Theo các nhà nghiên cứu, hoạt động mờ ám cũng được nhóm này áp dụng như "công cụ di chuyển chuột, phần mềm VPN, giải pháp thay thế để tránh cài đặt ngôn ngữ và phông chữ hệ thống mặc định và KVM qua IP (điều khiển bàn phím, video và chuột từ xa) để truy cập từ xa". Một số tổ chức bị ảnh hưởng báo cáo việc sử dụng các cuộc gọi Zoom kéo dài hàng giờ để chia sẻ màn hình.

Vào tháng 11 năm ngoái, Cục điều tra liên bang Mỹ (FBI) đã có thể thu giữ nhiều tên miền của công ty “bình phong” IT Worker, tất cả đều được cho là có nguồn gốc từ Triều Tiên.

Các công ty bình phong đã bị phát hiện mạo danh các công ty gia công công nghệ hợp pháp của Hoa Kỳ với hy vọng dụ dỗ các công ty Hoa Kỳ thuê những người được gọi là công nhân của mình.

Microsoft cảnh báo về sự gia tăng của các vụ lừa đảo liên quan đến công nhân Triều Tiên tại hội nghị CYBERWARCON năm ngoái, cho biết "khả năng khai thác mạng máy tính" kéo dài hàng thập kỷ của tin tặc đến từ Triều Tiên và đã thu về hàng tỷ đô la tiền điện tử, cũng như nhắm mục tiêu vào các tổ chức liên quan đến vệ tinh và hệ thống vũ khí" thông qua nhiều lỗ hổng zero-day.