Google cảnh báo về chiến dịch phần mềm độc hại do AI hỗ trợ của Triều Tiên nhằm vào tiền điện tử và DeFi

Tóm tắt ngắn gọn

• Các diễn viên Bắc Triều Tiên đang nhắm vào ngành công nghiệp tiền điện tử với các cuộc tấn công lừa đảo qua email sử dụng trí tuệ nhân tạo tạo ra deepfake và các cuộc họp Zoom giả mạo, Google cảnh báo.
• Hơn 2 tỷ đô la tiền điện tử đã bị đánh cắp bởi các hacker DPRK trong năm 2025.
• Các chuyên gia cảnh báo rằng danh tính kỹ thuật số đáng tin cậy đang trở thành điểm yếu nhất.

Đội ngũ an ninh của Google tại Mandiant đã cảnh báo rằng các hacker Bắc Triều Tiên đang tích hợp các deepfake do trí tuệ nhân tạo tạo ra vào các cuộc họp video giả mạo như một phần của các cuộc tấn công ngày càng tinh vi nhằm vào các công ty tiền điện tử, theo báo cáo được công bố vào thứ Hai. Mandiant cho biết gần đây họ đã điều tra một vụ xâm nhập tại một công ty fintech mà họ cho là do UNC1069, hay “CryptoCore”, một nhóm đe dọa có liên kết với Bắc Triều Tiên với độ tin cậy cao. Cuộc tấn công sử dụng một tài khoản Telegram bị xâm phạm, một cuộc họp Zoom giả mạo và kỹ thuật gọi là ClickFix để lừa nạn nhân chạy các lệnh độc hại. Các nhà điều tra cũng phát hiện bằng chứng cho thấy video do AI tạo ra đã được sử dụng để lừa đảo mục tiêu trong cuộc họp giả mạo.

Diễn viên Bắc Triều Tiên UNC1069 đang nhắm vào ngành công nghiệp tiền điện tử bằng kỹ thuật xã hội dựa trên AI, deepfake và 7 nhóm phần mềm độc hại mới.

Tìm hiểu chi tiết về các phương thức và công cụ của họ, cũng như các chỉ số phát hiện hoạt động trong bài đăng của chúng tôi 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (thuộc Google Cloud) (@Mandiant) ngày 9 tháng 2 năm 2026

“Mandiant đã quan sát thấy UNC1069 sử dụng các kỹ thuật này để nhắm vào cả các tổ chức doanh nghiệp và cá nhân trong ngành công nghiệp tiền điện tử, bao gồm các công ty phần mềm và nhà phát triển của họ, cũng như các quỹ đầu tư mạo hiểm và nhân viên hoặc giám đốc điều hành của họ,” báo cáo cho biết. Chiến dịch trộm cắp tiền điện tử của Bắc Triều Tiên Cảnh báo này xuất hiện khi các vụ trộm cắp tiền điện tử của Bắc Triều Tiên tiếp tục gia tăng quy mô. Vào giữa tháng 12, công ty phân tích blockchain Chainalysis cho biết các hacker Bắc Triều Tiên đã đánh cắp 2,02 tỷ đô la tiền điện tử trong năm 2025, tăng 51% so với năm trước. Tổng số tiền bị đánh cắp bởi các nhóm liên kết với DPRK hiện khoảng 6,75 tỷ đô la, mặc dù số vụ tấn công đã giảm. Các phát hiện này làm nổi bật một sự chuyển dịch lớn trong cách các tội phạm mạng liên kết nhà nước hoạt động. Thay vì dựa vào các chiến dịch lừa đảo hàng loạt, CryptoCore và các nhóm tương tự đang tập trung vào các cuộc tấn công cực kỳ tùy chỉnh, khai thác lòng tin trong các tương tác kỹ thuật số thường lệ như lời mời lịch trình và cuộc gọi video. Bằng cách này, Bắc Triều Tiên đạt được các vụ trộm lớn hơn qua ít vụ việc hơn nhưng nhắm mục tiêu chính xác hơn. Theo Mandiant, cuộc tấn công bắt đầu khi nạn nhân được liên hệ qua Telegram bởi một người dường như là một giám đốc điều hành tiền điện tử đã bị xâm phạm tài khoản. Sau khi xây dựng mối quan hệ, kẻ tấn công gửi liên kết Calendly cho một cuộc họp 30 phút, dẫn nạn nhân đến một cuộc gọi Zoom giả mạo được tổ chức trên hạ tầng của nhóm. Trong cuộc gọi, nạn nhân báo cáo thấy một video deepfake của một CEO tiền điện tử nổi tiếng. Khi cuộc họp bắt đầu, các kẻ tấn công tuyên bố có vấn đề âm thanh và hướng dẫn nạn nhân chạy các lệnh “khắc phục sự cố”, một kỹ thuật ClickFix cuối cùng kích hoạt phần mềm độc hại. Phân tích pháp y sau đó xác định có bảy nhóm phần mềm độc hại khác nhau trên hệ thống của nạn nhân, được triển khai nhằm thu thập thông tin đăng nhập, dữ liệu trình duyệt và token phiên để trộm cắp tài chính và giả mạo trong tương lai.

Deepfake giả mạo Fraser Edwards, đồng sáng lập kiêm CEO của công ty danh tính phi tập trung cheqd, cho biết cuộc tấn công phản ánh một mô hình mà ông thường thấy lặp đi lặp lại chống lại những người phụ thuộc vào các cuộc họp từ xa và phối hợp nhanh chóng. “Hiệu quả của phương pháp này đến từ việc ít có gì phải trông có vẻ bất thường,” Edwards nói. “Người gửi quen thuộc. Hình thức cuộc họp là quen thuộc. Không có tệp đính kèm phần mềm độc hại hoặc khai thác rõ ràng. Lòng tin được tận dụng trước khi bất kỳ biện pháp phòng thủ kỹ thuật nào có thể can thiệp.” Edwards nói rằng video deepfake thường được đưa vào các điểm leo thang, như các cuộc gọi trực tiếp, nơi thấy khuôn mặt quen có thể vượt qua nghi ngờ do các yêu cầu bất ngờ hoặc vấn đề kỹ thuật tạo ra. “Thấy một người thật trên camera thường đủ để vượt qua nghi ngờ do yêu cầu bất ngờ hoặc vấn đề kỹ thuật. Mục tiêu không phải là kéo dài tương tác, mà là tạo ra mức độ chân thực đủ để đưa nạn nhân đến bước tiếp theo,” ông nói. Ông bổ sung rằng AI hiện đang được sử dụng để hỗ trợ giả mạo ngoài các cuộc gọi trực tiếp. “Nó được dùng để soạn tin nhắn, chỉnh sửa giọng nói phù hợp, và phản chiếu cách ai đó thường giao tiếp với đồng nghiệp hoặc bạn bè. Điều này khiến các tin nhắn thường lệ khó bị nghi ngờ hơn và giảm khả năng người nhận dừng lại đủ lâu để xác minh tương tác,” ông giải thích. Edwards cảnh báo rằng rủi ro sẽ tăng lên khi các tác nhân AI được đưa vào giao tiếp hàng ngày và quá trình ra quyết định. “Các tác nhân có thể gửi tin nhắn, lên lịch cuộc gọi và hành động thay mặt người dùng với tốc độ máy móc. Nếu các hệ thống này bị lạm dụng hoặc xâm phạm, âm thanh hoặc video deepfake có thể tự động được triển khai, biến giả mạo thành một quá trình mở rộng quy mô,” ông nói. Ông cho rằng hầu hết người dùng sẽ không biết cách phát hiện deepfake, và “Câu trả lời không phải là yêu cầu người dùng chú ý hơn, mà là xây dựng các hệ thống bảo vệ họ theo mặc định. Điều này đòi hỏi cải thiện cách xác thực và tín hiệu xác thực, để người dùng có thể nhanh chóng hiểu liệu nội dung là thật, tổng hợp hay chưa xác thực mà không dựa vào trực giác, quen thuộc hoặc điều tra thủ công.”