Vừa mới phát hiện ra một điều khá đáng lo ngại trong lĩnh vực an ninh tiền điện tử. Nhóm Mandiant của Google Cloud vừa cảnh báo về một hoạt động mạng liên kết với Bắc Triều Tiên đang âm thầm nhắm vào các công ty crypto và fintech bằng những chiến thuật cực kỳ tinh vi.

Điều khiến tôi chú ý là cách tổ chức này phối hợp rất chặt chẽ. Chúng ta đang nói về một nhóm đe dọa gọi là UNC1069 đã mở rộng hoạt động từ năm 2018, và hiện tại họ đã xác định được bảy họ malware khác nhau đang được triển khai đồng thời. Điều này không phải ngẫu nhiên—rõ ràng đây là một hoạt động có nguồn lực lớn và có chủ đích.

Phần kỹ thuật mới thực sự đáng lo ngại. Hai loại malware mới được phát hiện là CHROMEPUSH và DEEPBREATH, được thiết kế đặc biệt để vượt qua các tính năng bảo mật của hệ điều hành và lấy cắp dữ liệu nhạy cảm. Chúng không chỉ đơn thuần là các công cụ chung chung—đây là vũ khí được chế tạo riêng. Ngoài ra còn có SILENCELIFT trong bộ công cụ, là phần của một bộ công cụ lớn hơn nhằm thu thập và trích xuất dữ liệu mà chúng có thể tiếp cận.

Nhưng điểm đáng sợ nhất là họ không chỉ dựa vào các khai thác kỹ thuật. Báo cáo của Mandiant mô tả cách họ xâm nhập vào các tài khoản Telegram và thiết lập các cuộc họp Zoom giả mạo với video deepfake do AI tạo ra. Khi đã vào cuộc gọi, chúng lừa bạn thực thi các lệnh ẩn qua các cuộc tấn công gọi là ClickFix. Đây là hình thức xã hội hóa tấn công cực kỳ tinh vi—kết hợp nội dung do AI tạo ra với thao túng xã hội.

Hoạt động liên kết Bắc Triều Tiên rõ ràng nhắm vào lĩnh vực crypto và fintech, điều này hợp lý trong bối cảnh căng thẳng địa chính trị và tiềm năng lợi nhuận tài chính. Nếu bạn làm việc trong lĩnh vực này, hãy coi trọng vấn đề này. Cần tăng cường các biện pháp bảo mật, cảnh giác với các cuộc gọi video không rõ nguồn gốc, và tuyệt đối không tin vào các liên kết hoặc lệnh từ các nguồn không xác minh.

Chiến dịch phối hợp này cho thấy rõ các quốc gia có chủ đích tập trung vào ngành công nghiệp crypto. Chắc chắn đây là điều cần theo dõi sát sao.