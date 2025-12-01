"Tin tặc có xu hướng phô trương bản thân. Nhóm này chọn ngày tấn công Upbit ngay khi có thông tin Naver mua lại Dunamu (công ty mẹ vận hành sàn giao dịch Upbit)", Yonhap dẫn lời một quan chức chính phủ giấu tên, nói về nhóm tin tặc khét tiếng.

Theo Yonhap, nhóm tin tặc từ Triều Tiên Lazarus bị nghi ngờ đứng sau vụ tấn công cuối tuần trước, nhắm vào sàn giao dịch tiền mã hóa lớn nhất Hàn Quốc Upbit. Thiệt hại ước tính lên đến 44,5 tỉ won.

Logo sàn giao dịch tài sản số Upbit trên đường phố Seoul Hàn Quốc ẢNH: CHỤP MÀN HÌNH

Dunamu, công ty điều hành Upbit, xác nhận đã có loạt giao dịch rút tiền bất thường, liên quan hàng chục token trên mạng blockchain Solana, lúc 4 giờ 42 ngày 27.11 (theo giờ Hàn Quốc). Sàn giao dịch buộc chuyển toàn bộ tài sản vào ví lạnh để ngăn chặn các giao dịch trái phép có thể xảy ra tiếp theo. Người dùng vẫn có thể thực hiện các giao dịch mua bán bình thường nhưng không thể nạp hoặc rút tiền cho đến khi mọi thứ ổn định trở lại.

Yonhap dẫn lời một quan chức chính phủ giấu tên cho biết vụ tấn công vào Upbit có dấu hiệu tương tự vụ trộm 58 tỉ won tiền điện tử vào năm 2019, có liên quan đến Lazarus. Một quan chức thuộc nhóm điều tra tội phạm mạng của Cơ quan Cảnh sát Quốc gia Hàn Quốc cho biết một cuộc điều tra đã được tiến hành, nhưng từ chối bình luận thêm. Cơ quan Tình báo Quốc gia Hàn Quốc chưa đưa ra bình luận.



Reuters dẫn các nguồn tin thân cận cho biết thay vì tấn công máy chủ, tin tặc có thể đã xâm nhập vào tài khoản của quản trị viên hoặc đóng giả quản trị viên để thực hiện hành vi trộm cắp.

"Chiến thuật của Lazarus là chuyển tiền điện tử sang ví tại các sàn giao dịch khác và thực hiện hành vi rửa tiền. Cách thức này khiến việc truy vết giao dịch trở nên bất khả thi", Yonhap dẫn lời một quan chức điều tra của Hàn Quốc.

Yonhap dẫn báo cáo từ công ty bảo mật AhnLab cho biết, từ tháng 10.2024 đến tháng 11.2025, Lazarus được cho là thủ phạm trong 31 vụ tấn công mạng. Con số thực tế có thể lớn hơn do tin tặc sử dụng các biện pháp tinh vi để xóa dấu vết.

Nhóm hacker Lazarus nguy hiểm ra sao?

Trước đó vào ngày 21.2.2025, sàn giao dịch tiền điện tử Bybit bị hacker tấn công và lấy đi 401.000 ETH, tương đương 1,46 tỉ USD giá trị khi đó. Đây được xem là một trong những vụ hack lớn nhất lịch sử. Công ty phân tích chuỗi khối Elliptic xác định Lazarus Group - nhóm tin tặc được cho là có liên quan đến Triều Tiên - chịu trách nhiệm về vụ hack.

Đến cuối tháng 3, The Times dẫn báo cáo từ Bitcoin Treasuries cho biết, Triều Tiên nắm giữ số Bitcoin lớn thứ ba thế giới, đạt 13.580 BTC. Mỹ là quốc gia nắm giữ Bitcoin lớn nhất với 198.109 BTC, tiếp đến là Anh với 61.245 BTC. Dữ liệu Treasuries thống kê dựa trên lượng Bitcoin chính phủ các quốc gia dự trữ, không gồm tài sản của cá nhân hay doanh nghiệp.

Forbes cho rằng Lazarus Group là nhóm tội phạm mạng khét tiếng có liên hệ với Triều Tiên. Tổ chức này lần đầu được biết đến vào năm 2009.

Trong những cuộc tấn công lớn có vụ hack thành công hãng phim Sony Pictures năm 2014 để trả đũa việc công ty phát hành bộ phim The Interview. Năm 2016, Lazarus Group gây rúng động thế giới khi thực hiện cuộc tấn công mạng quy mô lớn nhắm vào ngân hàng Bangladesh đánh cắp 81 triệu USD. Một năm sau, nhóm tin tặc khét tiếng này tiếp tục chịu trách nhiệm cho cuộc tấn công toàn cầu WannaCry Ransomware, ảnh hưởng đến 300.000 máy tính ở 150 quốc gia.

Theo công ty bảo mật Kaspersky, Lazarus Group không đơn thuần là tổ chức hacker mà là nhóm gián điệp mạng khét tiếng, thường thực hiện các cuộc tấn công tàn khốc nhắm vào các công ty sản xuất, phương tiện truyền thông, tổ chức tài chính.

Trong khi đó, các chuyên gia lưu ý Lazarus Group có nhiều nhóm với chất lượng khác nhau. Những nhóm kỹ năng cao thường được giao nhiệm vụ quan trọng. Nhiều thông tin cho thấy các nhóm tin tặc khác trên khắp thế giới đang đầu quân hoặc lợi dụng danh tiếng của Lazarus Group để thực hiện các vụ hack.