Nghiên cứu an ninh mạng mới đã hé lộ chi tiết quan trọng về cách thức hoạt động của các chuyên gia IT liên kết với Triều Tiên (DPRK), được Microsoft xếp vào nhóm tác nhân đe dọa “Jasper Sleet”. Nhóm này khai thác các cơ hội làm việc từ xa trong ngành Web3, blockchain và tiền điện tử để thực hiện **xâm nhập mạng** và giành quyền truy cập trái phép vào các mạng lưới doanh nghiệp.

Bằng cách giành được việc làm hợp pháp, các tác nhân này bỏ qua các vectơ truy cập ban đầu truyền thống như lỗ hổng zero-day hay mua thông tin trên dark web. Họ trực tiếp thâm nhập vào các tổ chức mục tiêu để chuyển tiền nhằm hỗ trợ các chương trình tên lửa của Bắc Triều Tiên. Đây là một hình thức **mối đe dọa mạng** tinh vi, đòi hỏi các biện pháp **an ninh mạng** chặt chẽ.

Hoạt Động Xâm Nhập và Mục Tiêu

Nghiên cứu này dựa trên hai vụ rò rỉ dữ liệu, phơi bày khoảng 1.417 địa chỉ email. Các địa chỉ này chủ yếu được thu thập từ các nền tảng như GoFile và được xác thực qua sự trùng lặp với Operation Endgame 2.0, một chiến dịch của Europol nhằm trấn áp các mạng lưới phần mềm độc hại vào tháng 5 năm 2025.

Những email này trải rộng trên 63 tên miền, trong đó Gmail chiếm ưu thế với 1.175 trường hợp. Điều này cho thấy ưu tiên sử dụng các dịch vụ tập trung vào quyền riêng tư như Skiff, Proton, và các nhà cung cấp tạm thời như AnonAddy và Gizmotik, giúp duy trì tính ẩn danh và tránh bị phát hiện trong quá trình **xâm nhập mạng**.

Phân Tích Dữ Liệu Rò Rỉ và Mẫu Hành Vi

Mẫu Tên Người Dùng và Tuổi Tác

Các bộ dữ liệu bị rò rỉ tiết lộ những mẫu rõ ràng trong việc tạo tên người dùng. Chúng bao gồm các năm sinh (ví dụ: 1990–1995) gợi ý các đặc vụ ở độ tuổi 23–36. Ngoài ra, còn có các mô típ động vật như “dragon” (xuất hiện trong 14 địa chỉ), các tham chiếu đến thần thoại Hy Lạp (ví dụ: Artemis, Athena), và các thuật ngữ định hướng công nghệ (ví dụ: “dev”, “coder”).

Phân Tích Mật Khẩu và Xác Thực

Phân tích mật khẩu từ các vụ vi phạm liên quan, như CutOut Pro và nhật ký infostealer ALIEN TXTBASE, cho thấy việc sử dụng thông tin đăng nhập yếu. Ví dụ điển hình là “123qwe!@#QWE” và “asdasdasd”, thường gắn liền với các mẫu bàn phím QWERTY, cùng với các trường hợp ngoại lệ như “Xiah” được lặp lại sáu lần.

Nhiều tài khoản được bật xác thực hai yếu tố (2FA) qua Google Authenticator và các email khôi phục liên kết nội bộ trong bộ dữ liệu. Điều này cho thấy một sự quản lý danh tính có phối hợp để hỗ trợ các hoạt động **xâm nhập mạng**.

Liên Kết với Các Hoạt Động Độc Hại Khác

Sự trùng lặp với các vụ vi phạm bao gồm Canva, Z-Lib và Operation Endgame cho thấy các email này liên quan đến các hoạt động độc hại rộng lớn hơn. Có bằng chứng về các vụ xâm nhập infostealer đã thu được mật khẩu dạng plaintext từ các dịch vụ không phải Gmail, làm tăng thêm rủi ro bảo mật.

Quy Trình Hoạt Động và Công Cụ Sử Dụng

Kiểm tra thêm về vụ rò rỉ thứ hai, được cho là của nhà nghiên cứu ZachXBT, phơi bày các quy trình làm việc. Bao gồm các báo cáo hàng tuần và bảng tính chi phí để mua số an sinh xã hội (SSN), tài khoản Upwork/LinkedIn, VPNs, và các công cụ chuyên dụng.

Các công cụ được sử dụng trong hoạt động **xâm nhập mạng** này bao gồm Octo Browser, AnyDesk và FaceSwap cho các cuộc phỏng vấn từ xa. Lịch sử tìm kiếm chỉ ra việc nhắm mục tiêu các công ty có trụ sở tại Ba Lan, các hệ sinh thái ERC20/Solana và các công ty AI. Địa chỉ ví tiền điện tử ETH 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c được liên kết với các khoản thanh toán, như báo cáo The Raven File đã chỉ rõ.

Các danh tính giả thường mạo danh cư dân Anh gốc Trung Quốc, với các dấu vết IP Nga thông qua Google Dịch sang tiếng Hàn. Điều này càng củng cố sự quy kết cho DPRK. Các hồ sơ GitHub khớp với báo cáo Jasper Sleet của Microsoft và hoạt động trên các nền tảng tự do như Upwork và Craigslist làm gia tăng nguy cơ gián điệp và **rủi ro bảo mật** chuỗi cung ứng, mở ra nhiều vectơ **xâm nhập mạng** tiềm năng.

Các Chỉ Số Nhận Dạng (IOCs)

• Mẫu email: Sử dụng năm sinh (1990–1995), các mô típ động vật (“dragon”), tham chiếu thần thoại Hy Lạp (Artemis, Athena), thuật ngữ công nghệ (“dev”, “coder”).
• Dịch vụ email ưu tiên: Skiff, Proton, AnonAddy, Gizmotik.
• Mật khẩu yếu: “123qwe!@#QWE”, “asdasdasd”, các mẫu QWERTY, “Xiah” lặp lại.
• Công cụ sử dụng: Octo Browser, AnyDesk, FaceSwap.
• Mục tiêu: Các công ty có trụ sở tại Ba Lan, hệ sinh thái ERC20/Solana, công ty AI.
• Địa chỉ ví tiền điện tử: ETH 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c.
• Danh tính giả: Mạo danh cư dân Anh gốc Trung Quốc, dấu vết IP Nga.
• Hoạt động nền tảng: GitHub profiles khớp với Jasper Sleet, Upwork, Craigslist.

Các Biện Pháp Giảm Thiểu và Phòng Ngừa

Để giảm thiểu những **mối đe dọa mạng** này, các tổ chức nên tích hợp các mô hình học máy được đào tạo dựa trên các mẫu email bị rò rỉ để sàng lọc ứng viên. Việc này giúp sớm phát hiện các dấu hiệu **xâm nhập mạng** tiềm năng.

Ngoài ra, cần xem xét kỹ lưỡng các kết nối với Trung Quốc hoặc Nga trong quá trình kiểm tra lý lịch và triển khai các công cụ chống deepfake như DeepFake Scanner cho các cuộc phỏng vấn video. Mặc dù các chỉ số này hỗ trợ phát hiện sớm, nhưng phương thức hoạt động thích nghi của các tác nhân đe dọa đòi hỏi sự cảnh giác liên tục và các giao thức xác minh dựa trên dữ liệu để tăng cường **an ninh mạng**.