Một đối tượng được cho là gián điệp mạng của Triều Tiên đã bị phát hiện khi cố gắng thâm nhập vào một vị trí làm việc từ xa tại một công ty an ninh mạng bằng cách sử dụng danh tính đánh cắp, sơ yếu lý lịch giả mạo được tạo bởi AI và số điện thoại VoIP. Trường hợp này, được phát hiện vào tháng 6 năm 2025, minh chứng cho thấy chiến dịch lừa đảo tuyển dụng của các nhân viên IT được tài trợ bởi nhà nước Triều Tiên ngày càng trở nên tinh vi và khó phát hiện hơn nếu không có quy trình sàng lọc phù hợp.
Đối tượng này đã ứng tuyển vào vị trí Lead AI Architect, tự xưng là một chuyên gia có trụ sở tại Florida với hơn một thập kỷ kinh nghiệm về kiến trúc AI và phát triển full stack. Mặc dù nỗ lực này đã thất bại, nhưng nó để lại một loạt các dấu hiệu đáng ngờ rõ ràng, vẽ nên một bức tranh đáng lo ngại về cách các chiến dịch này hoạt động trong thời điểm hiện tại.
Chiến Dịch Lừa Đảo Tuyển Dụng Tinh Vi
Kể từ đầu năm 2023, các nhân viên IT của Triều Tiên (DPRK) đã lặng lẽ thâm nhập vào các công ty tại Hoa Kỳ và các quốc gia khác bằng cách giả vờ là những người lao động từ xa có trình độ. Tiền lương mà các đối tượng này kiếm được sẽ được chuyển về chính phủ Triều Tiên, góp phần tài trợ cho các chương trình vũ khí của họ.
Chiến dịch này không chỉ giới hạn ở các công ty nhỏ mà còn nhắm mục tiêu vào các tổ chức ở mọi quy mô, bao gồm cả những công ty trong lĩnh vực công nghệ, tình báo và an ninh mạng. Các ứng viên giả mạo sử dụng thông tin cá nhân bị đánh cắp của người thật, tạo tài khoản email mới và xây dựng hồ sơ trực tuyến giả mạo để tạo vẻ hợp pháp.
Phát Hiện Thông Qua OSINT Chuyên Sâu
Các nhà phân tích của Nisos đã xác định được đối tượng DPRK nghi vấn sau khi kết hợp nghiên cứu tình báo mã nguồn mở (OSINT) tiền tuyển dụng với các câu hỏi phỏng vấn được thiết kế cẩn thận. Chi tiết về phân tích này có thể được tìm thấy trong báo cáo của Nisos.
Đối tượng này đã sử dụng các địa chỉ IP 167.88.61.250 và 167.88.61.117. Các IP này được liên kết với mạng ẩn danh Astrill VPN, một công cụ thường được sử dụng bởi các nhân viên IT của DPRK hoạt động từ Trung Quốc. Số điện thoại được cung cấp, 850-308-4867, được xác định là số Voice over Internet Protocol (VoIP). Đây là một chiến thuật phổ biến được các đối tượng này sử dụng để khớp mã vùng điện thoại với địa điểm Hoa Kỳ mà họ khai báo.
Các Dấu Hiệu Nhận Biết Của Hoạt Động Xâm Nhập Mạng Gián Điệp
Danh tính bị đánh cắp thuộc về một cư dân thật ở Florida, người đã sống ở Palm Beach Gardens, West Palm Beach và Greenacres. Đối tượng đã sử dụng tên và địa chỉ của người này để tạo nhiều tài khoản sơ yếu lý lịch trên các nền tảng khác nhau, mỗi tài khoản liệt kê các trường đại học, nhà tuyển dụng và địa điểm hơi khác nhau.
Tất cả ba sơ yếu lý lịch đều được truy ngược về cùng một cá nhân thật, người có thể không hề biết thông tin cá nhân của mình đang bị lạm dụng. Nisos đã phối hợp thông báo nạn nhân với cơ quan thực thi pháp luật sau khi phát hiện.
Lạm Dụng Công Nghệ AI và Kỹ Thuật Sao Chép
Một trong những khía cạnh đáng chú ý nhất của trường hợp này là cách đối tượng xây dựng và duy trì danh tính giả mạo bằng cách sử dụng các công cụ trí tuệ nhân tạo và sao chép ngôn ngữ mô tả công việc. Sơ yếu lý lịch được gửi cho vị trí Lead AI Architect chứa một danh sách kỹ năng kỹ thuật dài bất thường, bao gồm các ngôn ngữ lập trình, nền tảng đám mây, công cụ AI tác nhân (agentic AI) và khung OSINT.
Nhiều kỹ năng trong số này được lấy gần như nguyên văn từ mô tả công việc. Các nhà phân tích của Nisos lưu ý rằng kiểu sao chép ngôn ngữ mô tả công việc trực tiếp vào sơ yếu lý lịch là một chiến thuật đã biết trong số các nhân viên IT của DPRK, những người sử dụng nó để vượt qua các bộ lọc sàng lọc từ khóa cơ bản được sử dụng bởi hệ thống tuyển dụng.
Sự trùng lặp giữa hai tài liệu là đáng kể:
- Phần tóm tắt của sơ yếu lý lịch cũng sử dụng lại cụm từ từ mô tả công việc, đặc biệt là xung quanh việc nghiên cứu và đánh giá các công nghệ AI tác nhân mới nổi.
Hành Vi Đáng Ngờ Trong Phỏng Vấn Trực Tuyến
Trong buổi phỏng vấn trực tuyến diễn ra vào ngày 24 tháng 6 năm 2025, hành vi của đối tượng đã làm dấy lên thêm nhiều lo ngại. Người này thường xuyên nhìn đi chỗ khác khỏi camera. Khi được hỏi một câu hỏi giả vờ về một cơn bão chưa từng xảy ra, người này trả lời “Làm sao tôi có thể nói được?” trong khi liếc nhìn một màn hình khác. Đây là dấu hiệu cho thấy người này đang chờ một chatbot AI tạo ra câu trả lời.
Khi được yêu cầu chia sẻ màn hình và hướng dẫn những người phỏng vấn về công việc trước đây, đối tượng đã đột ngột đóng các tab trình duyệt và kết thúc cuộc gọi. Người này không có danh mục đầu tư GitHub và tuyên bố tất cả công việc trước đây được lưu trữ trong các kho lưu trữ riêng tư mà không thể chia sẻ.
Chỉ Số Nhận Dạng (IOCs) Và Cơ Chế Kiểm Soát
Ba tài khoản sơ yếu lý lịch riêng biệt dưới cùng một tên nhưng với các nhà tuyển dụng, trường đại học và địa điểm khác nhau đã được phát hiện trên nhiều nền tảng. Một tài khoản được tạo gần đây nhất vào tháng 5 năm 2025, cho thấy nhân vật này mới được xây dựng cho chiến dịch ứng tuyển công việc cụ thể này.
Danh Sách IOCs
- Địa chỉ IP liên quan đến VPN: 167.88.61.250, 167.88.61.117 (Mạng Astrill VPN).
- Số điện thoại VoIP: 850-308-4867.
- Dấu hiệu hành vi: Sử dụng AI để tạo câu trả lời, không thể chia sẻ công việc trên GitHub, đóng tab đột ngột trong khi chia sẻ màn hình.
- Mẫu hồ sơ: Nhiều hồ sơ với cùng tên nhưng thông tin công việc/học vấn khác nhau, hồ sơ mới được tạo.
Đối tượng cũng cung cấp một địa chỉ gửi thư riêng cho máy tính xách tay, khác với địa chỉ được liệt kê trên sơ yếu lý lịch. Điều này phù hợp với cách các đối tượng DPRK chuyển hướng các thiết bị công ty đến các “trang trại máy tính xách tay” (laptop farms).
Việc này xác nhận thiết bị đã nằm trong một tủ chứa cùng nhiều máy tính xách tay do công ty cấp khác, tất cả đều được kiểm soát từ xa thông qua các thiết bị PiKVM và kết nối qua dịch vụ VPN Tailscale mesh. Điều này làm tăng rủi ro bảo mật nghiêm trọng cho bất kỳ tổ chức nào.
Tác Động Và Khuyến Nghị Phòng Ngừa Rủi Ro Bảo Mật
Tác động của loại lừa đảo tuyển dụng này vượt xa một đơn xin việc giả mạo. Tuyển dụng một người có liên hệ với chiến dịch này có thể khiến một công ty đối mặt với nguy cơ đánh cắp dữ liệu, mất tài sản trí tuệ, các hình phạt về quy định và thiệt hại nghiêm trọng đến danh tiếng.
Các đối tượng, một khi được tuyển dụng, sẽ sử dụng các công cụ truy cập từ xa để kiểm soát máy tính xách tay của công ty từ nước ngoài trong khi có vẻ như đang làm việc tại chỗ. Điều này khiến việc phát hiện trở nên cực kỳ khó khăn đối với các đội ngũ bảo mật IT tiêu chuẩn.
Để giảm thiểu rủi ro bảo mật từ các chiến dịch xâm nhập mạng tinh vi như vậy, các tổ chức được khuyến nghị mạnh mẽ thực hiện các biện pháp sau:
- Thực hiện kiểm tra OSINT tiền tuyển dụng kỹ lưỡng cho tất cả các ứng viên làm việc từ xa.
- Xác minh số điện thoại và địa chỉ IP trong quá trình ứng tuyển. Việc kiểm tra IP có thể giúp phát hiện các dịch vụ ẩn danh hoặc vị trí đáng ngờ.
- Đặt các câu hỏi có mục tiêu trong các cuộc phỏng vấn mà không thể trả lời bằng các phản ứng có kịch bản hoặc do AI tạo ra.
- Yêu cầu chia sẻ màn hình trực tiếp các công việc trước đây có thể xác minh được.
- Theo dõi các hồ sơ chuyên nghiệp mới được tạo với ít kết nối, đây có thể là dấu hiệu của một persona giả mạo trong các vụ lừa đảo tuyển dụng.
Các công ty thiếu năng lực nội bộ để tiến hành các kiểm tra này nên làm việc với các công ty tình báo và điều tra có trình độ, có kinh nghiệm trong việc xác định gian lận tuyển dụng và các mối đe dọa nội bộ. Việc tăng cường các biện pháp an ninh mạng là điều tối quan trọng để bảo vệ dữ liệu và tài sản của doanh nghiệp.
