Tin tặc đến từ Triều Tiên giả danh phụ nữ và mở rộng mục tiêu vào nhiều nước

Nghiên cứu mới phát hiện ra rằng, nhóm tin tặc Triều Tiên có tên là Nickel Tapestry đã tìm ra những cách mới để điều chỉnh các vụ lừa đảo CNTT, bao gồm cả việc mạo danh ứng viên nữ và mở rộng hoạt động sang các công ty ở châu Âu và châu Á.

08:45, 13/05/2025

Khi các nhà tuyển dụng của các công ty CNTT của Hoa Kỳ đã biết cách nhận ra khi ứng viên giả mạo nộp đơn xin việc CNTT từ xa, những tác nhận này chủ yếu là để đánh cắp bí mật thương mại và kiếm tiền mang về Triều Tiên, một phần nhỏ còn lại là thực hiện các hoạt động đáp trả tăng cường.

 

Theo các nhà nghiên cứu về các mối đe dọa của Sophos, có "sự gia tăng các âm mưu của tin tặc núp bóng nhân viên nhắm vào các công ty châu Âu và Nhật Bản", mà còn có bằng chứng mới cho thấy nhóm này đã điều chỉnh các nhân vật của mình để tránh bị phát hiện.

Chuyên gian Sophos cho biết, "hình thức tuyển dụng từ xa khiến việc phát hiện mối đe đến từ CNTT Triều Tiên trở nên khó khăn hơn", đồng thời các âm mưu này cũng đã "mở rộng sang các ngành công nghiệp ngoài công nghệ".

Theo ghi nhận, chiến dịch lừa đảo của tin tặc đến từ Triều Tiên có tên là “Wagemole”, được các nhà nghiên cứu bảo mật phát hiện vào năm 2023, nhưng đã hoạt động từ năm 2018.

Việc Nickel Tapestry mở rộng chiến thuật cũng như hướng mục tiêu tấn công vào nhiều quốc gia khác nhau là do các doanh nghiệp Hoa Kỳ đã nhận biết về nhóm này và các cơ quan thực thi pháp luật đang triển khai các biện pháp khắc chế chúng.

Các chiến thuật và kỹ thuật đang phát triển

Các tác nhân đe dọa liên quan đến Nickel Tapestry hiện điều hành nhiều “trang trại máy tính xách tay” và sử dụng danh tính “đánh cắp hoặc làm giả” của các nhân viên thuộc các công ty tại Hoa Kỳ để thực hiện các âm mưu của mình. Nhóm tin tặc này đã bắt đầu mạo danh "các chuyên gia đến từ Việt Nam, Nhật Bản và Singapore" để xâm nhập vào cả thị trường việc làm Hoa Kỳ và Nhật Bản.

Chuyên gia của Sophos cho biết, trước đây nhóm tin tặc Nickel Tapestry tập trung tìm kiếm các vị trí công việc đòi hỏi “kỹ năng phát triển phần mềm web và blockchain, ứng tuyển vào nhiều ngành công nghiệp khác nhau”. Nhưng vào năm 2025, nhóm này dường như đã mở rộng phạm vi tìm kiếm việc làm đến lĩnh vực an ninh mạng và ngày càng có nhiều tin tặc giả mạo là phụ nữ để tìm kiếm việc làm.

Để tạo ra một nhóm ứng viên giả mạo, " tin tặc thường chỉnh sửa ảnh kỹ thuật số, thêm chúng vào sơ yếu lý lịch giả mạo và hồ sơ LinkedIn", thường bằng cách chồng ảnh có sẵn với hình ảnh thật của chính họ.

Hơn nữa, Nickel Tapestry đã thêm AI tạo sinh vào hộp công cụ tin tặc của mình, sử dụng công nghệ để viết, chỉnh sửa hình ảnh và xây dựng sơ yếu lý lịch.

Theo các nhà nghiên cứu, hoạt động mờ ám cũng được nhóm này áp dụng như "công cụ di chuyển chuột, phần mềm VPN, giải pháp thay thế để tránh cài đặt ngôn ngữ và phông chữ hệ thống mặc định và KVM qua IP (điều khiển bàn phím, video và chuột từ xa) để truy cập từ xa". Một số tổ chức bị ảnh hưởng báo cáo việc sử dụng các cuộc gọi Zoom kéo dài hàng giờ để chia sẻ màn hình.

Vào tháng 11 năm ngoái, Cục điều tra liên bang Mỹ (FBI) đã có thể thu giữ nhiều tên miền của công ty “bình phong” IT Worker, tất cả đều được cho là có nguồn gốc từ Triều Tiên.

Các công ty bình phong đã bị phát hiện mạo danh các công ty gia công công nghệ hợp pháp của Hoa Kỳ với hy vọng dụ dỗ các công ty Hoa Kỳ thuê những người được gọi là công nhân của mình.

Microsoft cảnh báo về sự gia tăng của các vụ lừa đảo liên quan đến công nhân Triều Tiên tại hội nghị CYBERWARCON năm ngoái, cho biết "khả năng khai thác mạng máy tính" kéo dài hàng thập kỷ của tin tặc đến từ Triều Tiên và đã thu về hàng tỷ đô la tiền điện tử, cũng như nhắm mục tiêu vào các tổ chức liên quan đến vệ tinh và hệ thống vũ khí" thông qua nhiều lỗ hổng zero-day.

Bình luận

Tin bài khác

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên
08:40, 13/05/2025

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

CrowdStrike mới đây đã tái khẳng định các dự báo cho quý đầu tiên và cả năm tài khóa 2026, đồng thời công bố kế hoạch cắt giảm khoảng 500 vị trí – tương đương khoảng 5% lực lượng lao động – nhằm tinh giản hoạt động và cắt giảm chi phí.

Xem thêm
Hacker tấn công Star Health, tuyên bố gửi đạn và dọa giết lãnh đạo công ty bảo hiểm y tế lớn nhất Ấn Độ
14:11, 12/05/2025

Hacker tấn công Star Health, tuyên bố gửi đạn và dọa giết lãnh đạo công ty bảo hiểm y tế lớn nhất Ấn Độ

Hacker làm rò rỉ dữ liệu cá nhân nhạy cảm từ công ty bảo hiểm y tế Star Health của Ấn Độ vào năm ngoái vừa lên tiếng nhận trách nhiệm về việc gửi đạn và lời đe dọa giết đến cho giám đốc điều hành và giám đốc tài chính của công ty.

Xem thêm
Phầm mềm tống tiền khét tiếng LockBit vừa bị xâm nhập
08:19, 12/05/2025

Phầm mềm tống tiền khét tiếng LockBit vừa bị xâm nhập

Băng nhóm sử dụng phần mềm tống tiền (ransomware) khét tiếng nhất thế giới một thời là LockBit vừa bị tấn công, trong đó các tác nhân đe dọa để lại một ghi chú: "Đừng phạm tội".

Xem thêm
15% người Việt hỏi AI trước khi mua sắm
10:33, 09/05/2025

15% người Việt hỏi AI trước khi mua sắm

Nhiều người Việt có thói quen hỏi AI khi mua sắm, với tỷ lệ cao hơn ở Mỹ, Anh, Nhật Bản, Hàn Quốc.

Xem thêm