Tin tặc Triều Tiên hiện đang rửa tiền điện tử bị đánh cắp thông qua YoMix tumbler

22 tháng 2, 2024

Nhóm hacker Triều Tiên Lazarus, khét tiếng vì đã thực hiện nhiều vụ trộm tiền điện tử quy mô lớn trong nhiều năm, đã chuyển sang sử dụng máy trộn bitcoin YoMix để rửa số tiền bị đánh cắp.

Theo báo cáo từ công ty phân tích chuỗi blockchain Chainalysis, Lazarus đã điều chỉnh quy trình rửa tiền của mình sau khi chính phủ xử phạt nhiều dịch vụ trộn bitcoin mà tác nhân đe dọa sử dụng.

Chainalysis cho biết YoMix đã chứng kiến một dòng tiền khổng lồ trong suốt năm 2023, điều này không phải do mức độ phổ biến tăng lên mà là do hoạt động của Lazarus.

Hoạt động rửa tiền của Lazarus

Trộm cắp tiền điện tử chỉ là một khía cạnh trong hoạt động của Lazarus, mặc dù là một phần rất quan trọng trong hoạt động của nó, được cho là không chỉ tài trợ cho hoạt động của nhóm mà còn cả chương trình phát triển vũ khí của Triều Tiên.

Một số hoạt động trộm cắp tiền điện tử lớn nhất mà Lazarus thực hiện trong những năm gần đây bao gồm vụ hack Ronin Network (Axie Infinity) vào tháng 3 năm 2022 thu về 625 triệu đô la, vụ hack Harmony Horizon vào tháng 6 năm 2022 dẫn đến thiệt hại 100 triệu đô la và vụ cướp Alphapo vào tháng 7 năm 2023 từ nơi tin tặc bỏ túi số tiền điện tử trị giá 60 triệu đô la.

Theo báo cáo từ Recorded Future, từ tháng 1 năm 2017 đến tháng 12 năm 2023, các nhóm hacker Triều Tiên, bao gồm Lazarus, Kimsuky và Andariel, đã đánh cắp khoảng 3 tỷ USD tiền điện tử.

Số tiền này đã được chuyển qua nhiều dịch vụ trộn tiền xu không tuân thủ các quy định chống rửa tiền và chấp nhận tiền gửi ngay cả từ các ví bị gắn cờ (flag) vì hoạt động đáng ngờ.

Các Thiết bị trộn (mixer) trả lại tài sản thông qua một mạng lưới gồm những người nắm giữ tiền điện tử bị xáo trộn và nhận chúng bằng các địa chỉ ví mới mà không thể truy nguyên được các cuộc tấn công ban đầu.

Trong những năm qua, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã xác định và xử phạt một số nền tảng mà Lazarus sử dụng để rửa tiền của họ, bao gồm Blender, Tornado Cash và Sinbad.

Tuy nhiên, mỗi khi một nền tảng bị xử phạt và bị cô lập khỏi không gian tiền điện tử, Lazarus lại chuyển sang một nền tảng mới. Chainalysis cho biết YoMix là dịch vụ mới nhất được hacker Triều Tiên sử dụng.

Xu hướng rửa tiền năm 2023

Chainalysis cho biết đã chứng kiến YoMix tăng trưởng mạnh mẽ về vốn trong quý 2 năm 2023, duy trì cho đến cuối năm, phần lớn là do rửa tiền.

Dòng tiền YoMix vào năm 2023 (Chainalysis)

Báo cáo cho biết: “Dựa trên dữ liệu Chainalysis, khoảng một phần ba tổng số dòng tiền vào YoMix đến từ các ví liên quan đến các vụ hack tiền điện tử”.

"Sự phát triển của YoMix và sự ủng hộ của Lazarus Group là một ví dụ điển hình về khả năng thích ứng và tìm kiếm các dịch vụ che giấu thay thế của các tác nhân tinh vi khi những dịch vụ phổ biến trước đây bị đóng cửa" - Chainalysis cho biết.

Chainalysis cũng cho biết năm ngoái họ đã nhận thấy xu hướng liên quan đến sự tập trung của các hoạt động rửa tiền tại một số dịch vụ ngoài tiền pháp định, với 71,7% tổng số tiền bất hợp pháp chỉ hướng đến 5 dịch vụ.

Tuy nhiên, ở cấp độ địa chỉ tiền gửi, hoạt động rửa tiền ít được tập trung hơn, cho thấy bọn tội phạm đang đa dạng hóa hoạt động của mình để tránh bị các đội thực thi pháp luật và tuân thủ phát hiện và phong tỏa tài sản.

Tổng số tiền được gửi đến thiết bị trộn (mixer) mỗi năm (Chainalysis)

Những điểm nổi bật khác từ báo cáo bao gồm:

Các địa chỉ ví tiền điện tử được gắn cờ đã gửi 22,2 tỷ USD đến các dịch vụ vào năm 2023, giảm so với 31,5 tỷ USD vào năm 2022.
109 địa chỉ gửi tiền trên sàn giao dịch đã nhận được hơn 10 triệu đô la tiền điện tử bất hợp pháp vào mỗi địa chỉ vào năm 2023, tổng cộng nhận được 3,4 tỷ đô la tiền điện tử bất hợp pháp.
Năm ngoái, số tiền gửi đến máy trộn từ các địa chỉ được gắn cờ là 504,3 triệu, giảm 50% so với 1 tỷ USD vào năm 2022.
Việc sử dụng cross-chain bridges chéo đã cho thấy sự tăng trưởng đáng kể vào năm 2023, với 743,8 triệu đô la tiền điện tử nhận được, so với 312,2 triệu đô la vào năm 2022.