Các nhân viên công nghệ thông tin (IT) liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) hiện đang ứng tuyển vào các vị trí từ xa bằng cách sử dụng tài khoản LinkedIn thật của những cá nhân mà họ mạo danh, đánh dấu một sự leo thang mới trong thủ đoạn lừa đảo này.
"Những hồ sơ này thường có email công việc được xác minh và huy hiệu nhận dạng, mà các đặc vụ DPRK hy vọng sẽ làm cho các đơn ứng tuyển lừa đảo của họ trông có vẻ hợp pháp," Security Alliance (SEAL) cho biết trong một loạt bài đăng trên X.
Mối đe dọa từ nhân viên IT là một chiến dịch kéo dài do Triều Tiên thực hiện, trong đó các đặc vụ từ quốc gia này giả dạng làm nhân viên từ xa để kiếm việc làm tại các công ty phương Tây và những nơi khác dưới danh tính bị đánh cắp hoặc bịa đặt. Mối đe dọa này cũng được cộng đồng an ninh mạng rộng lớn hơn theo dõi dưới tên Jasper Sleet, PurpleDelta và Wagemole.
Mục tiêu cuối cùng của những nỗ lực này là kép: tạo ra nguồn doanh thu ổn định để tài trợ cho các chương trình vũ khí của quốc gia, tiến hành hoạt động gián điệp bằng cách đánh cắp dữ liệu nhạy cảm, và trong một số trường hợp, đi xa hơn bằng cách yêu cầu tiền chuộc để tránh làm rò rỉ thông tin.
Tháng trước, công ty an ninh mạng Silent Push mô tả chương trình nhân viên từ xa của DPRK là một "cỗ máy tạo doanh thu lớn" cho chế độ, cho phép các tác nhân đe dọa cũng có được quyền truy cập quản trị vào các cơ sở mã nhạy cảm và thiết lập khả năng duy trì Living-off-the-Land trong hạ tầng doanh nghiệp.
"Khi lương đã được trả, các nhân viên IT của DPRK chuyển cryptocurrency thông qua nhiều kỹ thuật rửa tiền khác nhau," công ty phân tích blockchain Chainalysis lưu ý trong một báo cáo xuất bản vào tháng 10 năm 2025.
"Một trong những cách mà các nhân viên IT, cũng như những đối tác rửa tiền của họ, phá vỡ liên kết giữa nguồn và đích của quỹ trên chuỗi, là thông qua chain-hopping và/hoặc token swapping. Họ tận dụng các smart contracts như các sàn giao dịch phi tập trung và giao thức cầu nối để làm phức tạp việc truy tìm quỹ."
Để đối phó với mối đe dọa này, những cá nhân nghi ngờ danh tính của mình đang bị lạm dụng trong các đơn ứng tuyển việc làm gian lận được khuyến cáo nên cân nhắc đăng một cảnh báo trên các tài khoản mạng xã hội của họ, cùng với việc liệt kê các kênh liên lạc chính thức và phương thức xác minh để liên hệ với họ (ví dụ: email công ty).
"Luôn xác thực rằng các tài khoản được liệt kê bởi ứng viên được kiểm soát bởi email mà họ cung cấp," Security Alliance cho biết. "Các kiểm tra đơn giản như yêu cầu họ kết nối với bạn trên LinkedIn sẽ xác minh quyền sở hữu và kiểm soát tài khoản của họ."
Thông tin này được đưa ra khi Cơ quan An ninh Cảnh sát Na Uy (PST) ban hành một cảnh báo, tuyên bố rằng họ đã nhận thức được "một số trường hợp" trong năm qua, các doanh nghiệp Na Uy đã bị ảnh hưởng bởi các kế hoạch liên quan đến nhân viên IT.
"Các doanh nghiệp đã bị lừa thuê những người có khả năng là nhân viên IT Triều Tiên vào các vị trí làm việc tại nhà," PST cho biết tuần trước. "Thu nhập từ lương mà các nhân viên Triều Tiên nhận được thông qua các vị trí này có thể được dùng để tài trợ cho chương trình vũ khí và vũ khí hạt nhân của đất nước."
Song song với kế hoạch nhân viên IT là một chiến dịch tấn công phi kỹ thuật (social engineering campaign) khác có tên Contagious Interview, liên quan đến việc sử dụng quy trình tuyển dụng giả mạo để dụ dỗ các mục tiêu tiềm năng vào các cuộc phỏng vấn sau khi tiếp cận họ trên LinkedIn với lời mời làm việc. Giai đoạn độc hại của cuộc tấn công bắt đầu khi những cá nhân tự xưng là nhà tuyển dụng và quản lý tuyển dụng hướng dẫn mục tiêu hoàn thành một bài đánh giá kỹ năng mà cuối cùng dẫn đến việc họ thực thi mã độc.
Trong một trường hợp của chiến dịch mạo danh tuyển dụng nhắm vào các nhân viên công nghệ sử dụng quy trình tuyển dụng giống như của công ty cơ sở hạ tầng tài sản kỹ thuật số Fireblocks, các tác nhân đe dọa được cho là đã yêu cầu ứng viên nhân bản (clone) một kho lưu trữ GitHub và chạy các lệnh để cài đặt một gói npm nhằm kích hoạt việc thực thi phần mềm độc hại.
"Chiến dịch này cũng sử dụng EtherHiding, một kỹ thuật mới lạ tận dụng các smart contracts blockchain để lưu trữ và truy xuất hạ tầng command-and-control, giúp payload độc hại có khả năng chống lại các biện pháp gỡ bỏ tốt hơn," nhà nghiên cứu bảo mật Ori Hershko cho biết. "Các bước này đã kích hoạt việc thực thi mã độc ẩn trong dự án. Chạy quy trình cài đặt đã dẫn đến việc phần mềm độc hại được tải xuống và thực thi trên hệ thống của nạn nhân, tạo cho những kẻ tấn công một chỗ đứng trong máy của nạn nhân."
Trong những tháng gần đây, các biến thể mới của chiến dịch Contagious Interview đã được quan sát thấy sử dụng các tệp Microsoft VS Code task độc hại để thực thi phần mềm độc hại JavaScript ngụy trang dưới dạng phông chữ web (web fonts), cuối cùng dẫn đến việc triển khai BeaverTail và InvisibleFerret, cho phép truy cập liên tục và đánh cắp ví cryptocurrency cùng thông tin đăng nhập trình duyệt, theo các báo cáo từ Abstract Security và OpenSourceMalware.
Một biến thể khác của nhóm tấn công được Panther ghi nhận được cho là có liên quan đến việc sử dụng các gói npm độc hại để triển khai một framework remote access trojan (RAT) JavaScript mô-đun có tên Koalemos thông qua một loader. RAT này được thiết kế để đi vào một vòng lặp beacon nhằm truy xuất các tác vụ từ máy chủ bên ngoài, thực thi chúng, gửi các phản hồi được mã hóa và ngủ trong một khoảng thời gian ngẫu nhiên trước khi lặp lại.
Nó hỗ trợ 12 lệnh khác nhau để thực hiện các thao tác filesystem, truyền tệp, chạy các hướng dẫn khám phá (ví dụ: whoami), và thực thi mã tùy ý. Tên của một số gói liên quan đến hoạt động này như sau:
- env-workflow-test
- sra-test-test
- sra-testing-test
- vg-medallia-digital
- vg-ccc-client
- vg-dev-env
"Loader ban đầu thực hiện cơ chế DNS-based execution gating và xác thực ngày tham gia trước khi tải xuống và khởi tạo mô-đun RAT dưới dạng một tiến trình tách rời," nhà nghiên cứu bảo mật Alessandra Rizzo cho biết. "Koalemos thực hiện việc định danh hệ thống (system fingerprinting), thiết lập liên lạc command-and-control được mã hóa và cung cấp đầy đủ khả năng truy cập từ xa."
Labyrinth Chollima phân chia thành các đơn vị tác chiến chuyên biệt
Sự phát triển này diễn ra khi CrowdStrike tiết lộ rằng nhóm hacker nổi tiếng của Triều Tiên là Labyrinth Chollima đã phát triển thành ba nhóm riêng biệt với các mục tiêu và kỹ thuật tác chiến khác nhau: nhóm Labyrinth Chollima cốt lõi, Golden Chollima (còn gọi là AppleJeus, Citrine Sleet và UNC4736) và Pressure Chollima (còn gọi là Jade Sleet, TraderTraitor và UNC4899).
Đáng chú ý là Labyrinth Chollima, cùng với Andariel và BlueNoroff, được coi là các nhóm con trong Lazarus Group (còn gọi là Diamond Sleet và Hidden Cobra), với BlueNoroff phân tách thành TraderTraitor và CryptoCore (còn gọi là Sapphire Sleet), theo đánh giá từ DTEX.
Mặc dù có sự độc lập mới, các đối thủ này vẫn tiếp tục chia sẻ công cụ và hạ tầng, cho thấy sự phối hợp tập trung và phân bổ tài nguyên trong bộ máy tấn công mạng của DPRK. Golden Chollima tập trung vào các vụ trộm cryptocurrency quy mô nhỏ, nhất quán ở các khu vực kinh tế phát triển, trong khi Pressure Chollima theo đuổi các vụ trộm có giá trị cao với các implant tiên tiến để nhắm vào các tổ chức có tài sản kỹ thuật số đáng kể.
Mặt khác, các hoạt động của Labyrinth Chollima được thúc đẩy bởi gián điệp mạng, sử dụng các công cụ như rootkit FudModule để đạt được khả năng ẩn mình. Công cụ này cũng được gán cho Operation Dream Job, một chiến dịch tấn công phi kỹ thuật lấy việc làm làm trung tâm khác được thiết kế để phân phối phần mềm độc hại nhằm thu thập thông tin tình báo.
"Các yếu tố hạ tầng chia sẻ và sự giao thoa công cụ cho thấy các đơn vị này duy trì sự phối hợp chặt chẽ," CrowdStrike cho biết. "Cả ba đối thủ đều sử dụng kỹ thuật tác chiến tương tự đáng kinh ngạc – bao gồm các cuộc tấn công chuỗi cung ứng (supply chain compromises), các chiến dịch tấn công phi kỹ thuật theo chủ đề nhân sự (HR-themed social engineering campaigns), phần mềm hợp pháp bị trojan hóa (trojanized legitimate software), và các gói Node.js và Python độc hại."
