Hàng nghìn nhân viên IT Triều Tiên đang hoạt động với danh tính giả trong nền kinh tế freelance toàn cầu, giành được công việc tại các công ty lớn để tài trợ cho chương trình vũ khí của nhà nước và tiến hành hoạt động gián điệp.

Hàng nghìn lập trình viên Triều Tiên đang “ẩn mình giữa đám đông”, tham gia xây dựng ứng dụng, thiết kế hạ tầng hoặc phát triển hệ thống cho các doanh nghiệp toàn cầu. Đằng sau những hồ sơ LinkedIn giả và ảnh đại diện được tạo bởi AI là một chiến dịch do nhà nước tài trợ, nhằm huy động nguồn tiền và phục vụ cho hoạt động gián điệp.

Trong bài viết này, KELA tiết lộ cách các điệp viên Triều Tiên xâm nhập vào doanh nghiệp, công cụ và chiến thuật họ sử dụng, cũng như những rủi ro mà các tổ chức trên toàn cầu đang phải đối mặt. Báo cáo đầy đủ với chi tiết độc quyền chỉ dành cho khách hàng của KELA.

BỐI CẢNH: HOẠT ĐỘNG LAO ĐỘNG TỪ XA CỦA TRIỀU TIÊN

Từ năm 2018, Triều Tiên đã triển khai hàng nghìn nhân viên IT có tay nghề cao ra nước ngoài nhằm tạo nguồn ngoại tệ phục vụ cho chương trình vũ khí bị trừng phạt của mình. 

Hoạt động chủ yếu tại Trung Quốc, Nga, Hồng Kông, Đông Nam Á hoặc thậm chí trong lãnh thổ Triều Tiên qua mạng được kiểm soát, họ sử dụng VPN, VPS, đồng phạm ở phương Tây và các “trại máy tính xách tay” để che giấu nguồn gốc. Những người này giành việc làm trên các nền tảng freelance hoặc chính thức bằng danh tính bị đánh cắp hoặc thuê, ảnh giả AI và hồ sơ năng lực giả mạo, từ đó thâm nhập vào các công ty công nghệ, tiền điện tử, giao thông và hạ tầng trọng yếu.

Sau khi vào được hệ thống, họ có thể âm thầm gửi tiền về cho chính quyền hoặc khai thác quyền truy cập để cài mã độc, đánh cắp dữ liệu hay tống tiền. Microsoft theo dõi các mạng lưới này dưới tên Jasper Sleet và Moonstone Sleet, với ước tính hơn 10.000 người đang hoạt động trên toàn cầu. KELA cũng phát hiện nhân sự Triều Tiên hoạt động trong lĩnh vực kiến trúc, mở rộng rủi ro ra cả gián điệp, trốn lệnh trừng phạt và xâm nhập hạ tầng dân sự.

Những năm gần đây, khi mô hình này lan rộng, các chuyên gia bảo mật đã dần phơi bày chiến thuật của họ, khiến việc phát hiện trở nên dễ dàng hơn. Nhiều nhóm nghiên cứu độc lập như TheRavenFiles, North Korean Internet và Chollima Group cho thấy các đặc vụ Triều Tiên dựa nhiều hơn vào kỹ nghệ xã hội và lừa đảo hơn là tấn công kỹ thuật.

Các rò rỉ email cho thấy họ thường sử dụng Gmail, đặt tên tài khoản dựa theo năm sinh, màu sắc, động vật hoặc thần thoại phương Tây, kèm mật khẩu đơn giản, lặp lại – một phương pháp “thô sơ nhưng hiệu quả” để ẩn danh và kiếm việc làm.

BẰNG CHỨNG VỀ INFOSTEALER

Năm 2025, TheRavenFiles và Chollima Group phát hiện hàng chục địa chỉ email có liên hệ với Triều Tiên trong các log của phần mềm đánh cắp thông tin (infostealer) từ máy tính tại Nhật, Nga, Hồng Kông và Mỹ. Những máy này có công cụ lập trình phổ biến như Python, Node.js, JetBrains IDEs, cùng với phần mềm Trung Quốc (QQPlayer, 2345 Explorer) và VPN thuộc sở hữu Triều Tiên (NetKey).

Các tài khoản bị xâm nhập bao gồm nền tảng tuyển dụng (Indeed, Upwork, LinkedIn), lập trình (GitHub, GitLab, AWS), tài chính (Amazon, Binance, Stripe), mạng xã hội (Twitter, Instagram, YouTube) và công cụ học tập (Codecademy, Zoho, Apple ID).

NGHIÊN CỨU TÌNH HUỐNG: NHÂN VIÊN TRIỀU TIÊN TRONG NGÀNH KIẾN TRÚC

KELA phát hiện một điệp viên Triều Tiên hoạt động trong lĩnh vực kiến trúc, sử dụng nhiều tài khoản LinkedIn và GitHub giả để làm việc cho khách hàng tại nhiều bang của Hoa Kỳ. Điều này tiềm ẩn rủi ro về gián điệp, vi phạm lệnh trừng phạt và truy cập trái phép vào thiết kế hạ tầng quan trọng.

Hoạt động GitHub của người này cho thấy kỹ năng lập trình, tự động hóa, AI và học máy. Các tệp Google Drive đính kèm chứa bảng tính với hàng trăm địa chỉ email dùng để đăng ký tài khoản, thậm chí bao gồm danh sách danh tính đầy đủ cho từng bang của Mỹ.

Các thư mục khác chứa hồ sơ, mẫu đề xuất khách hàng, ảnh chỉnh sửa khuôn mặt, giấy tờ KYC và cấu hình proxy, thể hiện một hệ thống tinh vi trong việc tạo danh tính ảo. Một số thư mục chứa hình ảnh tóc giả và ID chỉnh sửa, được dùng để thay đổi ngoại hình trên ảnh đại diện – nhằm duy trì các “nhân dạng chuyên nghiệp” qua nhiều nền tảng.

CÁC PHÁT HIỆN BỔ SUNG

Dữ liệu cũng cho thấy người này sử dụng công cụ quản lý danh tính IxBrowser, chia nhỏ email cho từng mục đích (đăng ký, liên hệ, quản trị), nhận các đề nghị công việc kỹ sư xây dựng từ khách hàng Mỹ, giao dịch bằng tiền mã hóa và thường xuyên dùng trình dịch từ tiếng Hàn sang tiếng Anh để giao tiếp. Dữ liệu vị trí cho thấy hoạt động tại Nga, khu vực Khabarovsk – nơi từng ghi nhận sự hiện diện của lao động IT Triều Tiên.

KẾT LUẬN: MỐI ĐE DỌA MỞ RỘNG VƯỢT KHỎI LĨNH VỰC IT

Cuộc điều tra của KELA cho thấy mạng lưới lao động từ xa Triều Tiên được tổ chức chặt chẽ, do nhà nước hậu thuẫn, và đã mở rộng sang cả các lĩnh vực ngoài IT như thiết kế công nghiệp và kiến trúc. Họ sử dụng công cụ hợp pháp, xây dựng danh tính giả tinh vi, và khai thác các phương pháp “đơn giản mà hiệu quả” để thâm nhập hệ thống và duy trì ẩn danh.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.