Tất tần tật về nhóm tin tặc Lazarus: Từ bóng tối Bình Nhưỡng tới cơn ác mộng toàn cầu

Thử tưởng tượng, bạn là một nhân viên của Sony Pictures, một buổi tối tháng 11 năm 2014, khi đang chuẩn bị về nhà thì màn hình máy tính đột nhiên tối đen, thay vào đó là một hình đầu lâu đáng sợ với thông điệp lạnh gáy: "Dữ liệu của các người đã thuộc về chúng tôi." Chỉ trong vài giờ, hàng loạt dữ liệu mật từ những bộ phim chưa phát hành, email cá nhân, thông tin tài chính đến cả mức lương của các diễn viên hạng A đều bị tung lên mạng. Sony Pictures trở nên hỗn loạn, còn thế giới lần đầu tiên nghe đến một cái tên bí ẩn: Lazarus.

Nhưng đó chỉ là mở đầu. Vài năm trước đó, nhiều ngân hàng lớn tại Bangladesh, Philippines, cả ở Mỹ Latinh bỗng nhiên mất hàng chục triệu đô la trong những phi vụ chuyển khoản "ma" bí ẩn. Tháng 5 năm 2017, các bệnh viện ở Anh rơi vào trạng thái gần như tê liệt khi mã độc WannaCry bất ngờ khóa hàng loạt máy tính, buộc bác sĩ phải quay lại thời đại sử dụng "bút và giấy." 

Hay chỉ ngay mới đây, cuộc tấn công vào sàn giao dịch tiền điện tử top đầu Bybit, gây thất thoát tới 1.5 tỷ đô. Và trong tất cả những cuộc tấn công chấn động này, người ta đều tìm thấy dấu vết của Lazarus, một nhóm tin tặc bí hiểm, được cho là cánh tay nối dài của chính quyền Triều Tiên.

Từ một cái tên mơ hồ hơn một thập kỷ trước, Lazarus giờ đây đã trở thành ác mộng an ninh mạng toàn cầu, gây thiệt hại hàng tỷ đô la, tạo nên những cơn chấn động chính trị và thách thức mọi nỗ lực bảo mật của giới an ninh mạng. Trong bài viết này, hãy cùng mình bắt đầu hành trình khám phá nhóm hacker Lazarus (còn được biết với những cái tên khác như APT38 hay Hidden Cobra).

Chúng ta sẽ bắt đầu từ nguồn gốc bí ẩn của Lazarus, cách họ tổ chức và vận hành, mối liên hệ chặt chẽ với chính phủ Triều Tiên, và tiếp đến là hàng loạt các vụ tấn công kinh điển. Cùng lúc đó, bài viết cũng bóc tách chi tiết những kỹ thuật tấn công tinh vi mà nhóm này ưa chuộng, từ cách thức đánh cắp dữ liệu, mã độc tống tiền đến các chiến dịch tấn công ngân hàng táo tợn. Chúng ta cũng sẽ nhìn rộng hơn, phân tích ảnh hưởng khổng lồ mà Lazarus gây ra về mặt xã hội, chính trị và kinh tế trên toàn cầu, đặc biệt trong cuộc chiến tranh mạng không tiếng súng giữa Hoa Kỳ và Triều Tiên.

Cuối cùng, bài viết sẽ tiết lộ cách mà các cơ quan an ninh và chuyên gia mạng toàn cầu đang chống lại Lazarus, những chiến dịch điều tra và những nỗ lực kiềm chế nhóm tin tặc đáng gờm này.

Sẵn sàng chưa? Hãy cùng mình bắt đầu với nguồn gốc của nhóm hacker từ bóng tối Bình Nhưỡng này nhé!

Bài viết này nằm trong chuỗi nội dung của group Xóa Mù Crypto – cộng đồng do MoveSpiders kết hợp cùng Aptos Foundation xây dựng. Mục tiêu của series là giúp bạn hiểu rõ thế giới crypto một cách dễ tiếp cận: không hô hào, không đánh đố, chỉ toàn những chia sẻ thực tế, dễ hiểu, và có chiều sâu.

Đến với group, bạn sẽ góp nhặt được những kiến thức và khái niệm nền tảng làm hành trang. Kèm theo đó là những chia sẻ chân thật, những case study người thật việc thật trong thế giới crypto & blockchain, của nhiều cá nhân với nhiều vị trí & vai trò khác nhau - từ những lập trình viên, các thành viên từ các tổ chức lớn, tới những người làm cộng đồng hay người dùng cá nhân.  

Nếu quan tâm, các bạn có thể tìm hiểu ở phần mô tả video này và  tham gia group ngay hôm nay để bắt đầu hành trình “xóa mù crypto” của chính mình!

Hãy quay trở lại những năm cuối thập niên 2000, thời điểm nhóm Lazarus bắt đầu lộ diện với những hoạt động mạng đầu tiên. Chiến dịch sớm nhất được ghi nhận của Lazarus mang mật danh Operation Troy, kéo dài từ năm 2009 tới 2012. Trong chiến dịch này, Lazarus đã thực hiện các cuộc tấn công DDoS (từ chối dịch vụ phân tán) quy mô lớn, làm tê liệt hàng loạt website và hệ thống trực tuyến của chính phủ Hàn Quốc tại Seoul.

Nhưng Lazarus không dừng lại ở đó. Năm 2011 và 2013, họ tiếp tục tung ra các cuộc tấn công táo tợn hơn, nổi bật nhất là chiến dịch "Ten Days of Rain" (Mười ngày mưa) và DarkSeoul. Đặc biệt, cuộc tấn công DarkSeoul vào tháng 3 năm 2013 đã đánh sập hàng chục nghìn máy tính tại các đài truyền hình, ngân hàng và các tổ chức quan trọng ở Hàn Quốc, làm gián đoạn hoạt động trong nhiều ngày.

Dù thông tin chi tiết về nội bộ của Lazarus không được tiết lộ nhiều, nhưng các cơ quan tình báo phương Tây sớm nhận ra nhóm này có mối quan hệ mật thiết với chính phủ Triều Tiên, cụ thể là Tổng cục Trinh sát (RGB), cơ quan tình báo quân sự hàng đầu nước này. Theo Bộ Tài chính Hoa Kỳ, Lazarus đã được thành lập ít nhất từ năm 2007 dưới sự chỉ đạo trực tiếp của RGB. Nhiều nguồn tin từ những người đào tẩu khỏi Triều Tiên cho biết Bình Nhưỡng đã chủ động xây dựng lực lượng hacker tinh nhuệ ngay từ đầu thập niên 2000, tuyển chọn nhân tài từ các trường đại học hàng đầu như Đại học Công nghệ Kim Chaek và Đại học Kim Nhật Thành, thậm chí gửi nhiều người đi đào tạo ở Trung Quốc.

Nhiều thành viên của Lazarus còn hoạt động ở bên ngoài lãnh thổ Triều Tiên, ví dụ như thành phố Thẩm Dương, Trung Quốc, để tận dụng cơ sở hạ tầng internet tốt hơn và xây dựng các doanh nghiệp bình phong nhằm che đậy hoạt động tấn công mạng. Một trường hợp nổi bật là Park Jin Hyok, hacker đầu tiên của Lazarus bị FBI truy nã, từng làm việc tại công ty bình phong Chosun Expo tại Trung Quốc, nơi được cho là điểm trung chuyển cho các hoạt động tấn công mạng của Bình Nhưỡng.

Về mặt tổ chức, Lazarus không chỉ là một nhóm đơn lẻ mà được coi như một "siêu tập thể" bao gồm nhiều đơn vị tác chiến nhỏ hơn. Hai nhánh nổi bật nhất là Bluenoroff (APT38) chuyên tấn công vào các định chế tài chính quốc tế, và Andariel, tập trung vào các mục tiêu quân sự và doanh nghiệp Hàn Quốc nhằm đánh cắp thông tin tình báo và trục lợi tài chính. Chỉ riêng Bluenoroff đã cố gắng đánh cắp hơn 1,1 tỷ USD từ các ngân hàng trên toàn thế giới.

Năm 2019, Hoa Kỳ chính thức đưa Lazarus, Bluenoroff và Andariel vào danh sách cấm vận, nhấn mạnh rằng những tổ chức này đều hoạt động dưới sự bảo trợ trực tiếp của chính quyền Triều Tiên, phục vụ cho mục đích chính trị và tài chính của Bình Nhưỡng. Lazarus từ đó không còn đơn thuần là một nhóm hacker tư lợi, mà trở thành cánh tay nối dài của chiến lược quốc gia Triều Tiên, với năng lực và tham vọng ngày càng nguy hiểm trên chiến trường mạng quốc tế.

Trong hơn một thập kỷ hoạt động, Lazarus đã vẽ nên một bản đồ tội ác số trải khắp mọi lĩnh vực: từ quốc phòng, ngân hàng, điện ảnh cho tới tiền mã hóa. Mỗi phi vụ là một chương hấp dẫn, đủ sức khiến các nhà điều tra quốc tế phải đau đầu còn cộng đồng mạng thì “rùng mình” thán phục.

Tưởng chừng những chiến dịch như Operation Troy, Ten Days of Rain hay DarkSeoul đã đủ làm cho giới chức đau đầu, nhưng không, đây mới chỉ là những bước đệm đầu tiên của Lazarus, trước khi những phi vụ khác, tinh vi hơn, táo bạo hơn, được thực hiện.

Vào cuối năm 2014, Lazarus thực hiện chiến dịch đưa tên tuổi của nhóm ra ánh sáng toàn cầu: vụ hack Sony Pictures Entertainment. Ngày 24/11/2014, một thông điệp xuất hiện trên diễn đàn Reddit tuyên bố hệ thống Sony Pictures đã bị xâm nhập, do nhóm tự xưng “Guardians of Peace” (Những người bảo vệ hòa bình) thực hiện. Ngay sau đó, hàng loạt dữ liệu nội bộ tuyệt mật của hãng phim này lần lượt bị rò rỉ công khai: từ các bộ phim chưa phát hành, kịch bản phim tương lai, email của giám đốc điều hành, bảng lương nhân viên cho đến thông tin cá nhân của 4.000 nhân viên Sony. 

Nghiêm trọng hơn, mã độc còn phá hỏng hoàn toàn hàng ngàn máy tính của Sony, khiến công ty gần như tê liệt trong nhiều tuần. Vụ tấn công diễn ra ngay trước thời điểm Sony dự kiến công chiếu bộ phim hài “The Interview” – tác phẩm chế giễu lãnh đạo Kim Jong-un, làm dấy lên nghi ngờ rằng đây là đòn trả đũa của Triều Tiên nhằm “bịt miệng” Sony. Quả thực, nhóm hacker đe dọa sẽ tiếp tục hành động nếu Sony không hủy chiếu bộ phim, và cuối cùng Sony buộc phải hủy buổi công chiếu theo kế hoạch vì lo ngại an ninh.

Giới chức Mỹ nhanh chóng vào cuộc điều tra và chỉ đích danh Lazarus là thủ phạm với sự bảo trợ của Bình Nhưỡng. FBI và Nhà Trắng tuyên bố vụ tấn công Sony 2014 là minh chứng rõ ràng cho thấy Triều Tiên sẵn sàng “trả đũa tự do ngôn luận bên ngoài lãnh thổ của họ” bằng vũ khí mạng. 

Đây được coi là một trong những vụ tấn công mạng mang động cơ chính trị nghiêm trọng nhất vào thời điểm đó. Hậu quả để lại cho Sony rất nặng nề, hàng chục triệu USD chi phí khắc phục và tổn thất kinh doanh, lãnh đạo cấp cao phải từ chức do nội dung email bị lộ, và toàn ngành điện ảnh Hollywood bị sốc về mức độ mong manh của an ninh mạng doanh nghiệp. 

Và thế, Sony đã trở thành nạn nhân đầu tiên để khẳng định danh tiếng, hay tai tiếng, cho Lazarus, từ chỗ ẩn mình trong bóng tối châu Á, nhóm hacker Triều Tiên đã có màn ra mắt hết sức ồn ào trên sân khấu quốc tế như một thế lực khó lường về không gian mạng.

Sau Sony, đánh cắp thông tin có lẽ chưa đủ đối với Lazarus, nên chúng đã chuyển mục tiêu sang lĩnh vực tài chính toàn cầu với loạt phi vụ trộm tiền táo bạo từ các ngân hàng quốc tế. 

Năm 2015, nhóm bị tình nghi xâm nhập ngân hàng Banco del Austro ở Ecuador, đánh cắp 12 triệu USD, và tấn công vào ngân hàng Tpbank ở Việt Nam, cuỗm đi khoảng 1 triệu USD. 

Tuy nhiên, đỉnh cao phải kể đến vụ cướp Ngân hàng Trung ương Bangladesh năm 2016, một trong những vụ trộm tiền qua mạng lớn nhất lịch sử. Tháng 2/2016, hacker Lazarus xâm nhập hệ thống ngân hàng Bangladesh và sử dụng kết nối SWIFT (mạng lưới chuyển tiền liên ngân hàng toàn cầu) để gửi đi 35 yêu cầu chuyển tổng cộng gần 1 tỷ USD từ tài khoản của ngân hàng này tại Cục Dự trữ Liên bang New York. Bằng mưu mẹo, chúng đã khiến Fed New York xử lý trót lọt 5 giao dịch, chuyển 101 triệu USD đến các tài khoản ở Philippines và Sri Lanka trước khi ngân hàng Bangladesh phát hiện. 

Chỉ một lỗi chính tả trong một lệnh chuyển tiền (viết sai chữ “Foundation” thành “Fundation”) đã khiến ngân hàng trung gian nghi ngờ và chặn đứng 30 giao dịch còn lại, cứu vãn 850 triệu USD khỏi tay hacker. Dù vậy, Lazarus vẫn ẵm trọn 81 triệu USD biến mất vào các sòng bạc ở Philippines, số tiền không bao giờ được thu hồi. Giới chuyên gia nhận định nếu không có lỗi đánh máy may mắn kia, các hacker Triều Tiên đã gần như hoàn tất một vụ cướp ngân hàng 1 tỷ đô chưa từng có.

Vụ Bangladesh đã gióng lên hồi chuông cảnh báo đỏ về an ninh ngân hàng toàn cầu. Quá trình điều tra quốc tế sau đó (với sự tham gia của FBI, Interpol, Ngân hàng Thế giới…) lần lượt hé lộ một chiến dịch có tổ chức, chuẩn bị kỹ lưỡng: từ việc xâm nhập mạng ngân hàng bằng email lừa đảo, cài đặt mã độc ẩn mình nhiều tuần, cho đến thao túng hệ thống SWIFT để chuyển tiền vào các tài khoản “ma” rồi rửa tiền qua sòng bạc. Tất cả đều mang dấu ấn của Lazarus. 

Không chỉ Bangladesh, trong năm 2015-2016 Lazarus còn bị nghi tấn công nhiều ngân hàng khác ở Đông Nam Á và châu Phi. Hãng BAE Systems cho biết ít nhất 5 ngân hàng ở Việt Nam, Philippines, Malaysia, Bangladesh và Ecuador đã trở thành nạn nhân của cùng một mẫu mã độc và phương thức, cho thấy một chiến dịch “đại cướp ngân hàng” diện rộng.

Chuỗi hoạt động tấn công hệ thống SWIFT phần nào khẳng định Lazarus không chỉ làm nhiệm vụ phá hoại mà còn trở thành “cỗ máy kiếm tiền” cho Bình Nhưỡng. Theo Bộ Tài chính Mỹ, việc hình thành nhóm Bluenoroff nằm trong chiến lược của Triều Tiên nhằm “xoay sở nguồn thu” khi đất nước bị bao vây cấm vận. 

Tháng 5/2017, Lazarus chuyển hướng sang một hình thức tấn công mới với quy mô toàn cầu: phát tán mã độc tống tiền WannaCry. 

Vào ngày 12/5/2017, mã độc WannaCry bất ngờ bùng phát trên phạm vi khắp thế giới, nhanh chóng lây nhiễm hơn 200.000 máy tính tại 150 quốc gia chỉ trong vài giờ. Khác với ransomware thông thường lây qua file đính kèm, WannaCry có khả năng tự lan truyền như một sâu mạng (worm), khai thác lỗ hổng EternalBlue trên giao thức SMB của Windows để từ một máy nhiễm có thể lây sang toàn bộ máy khác trong cùng mạng mà không cần người dùng tương tác. 

Đây là cuộc tấn công ransomware quy mô lớn chưa từng thấy: hệ thống Dịch vụ Y tế Quốc gia Anh (NHS) gần như tê liệt khi khoảng 1/3 số bệnh viện bị khóa máy tính, hơn 19.000 cuộc hẹn khám bệnh bị hủy và thiệt hại trực tiếp ước tính 112 triệu USD chỉ riêng tại Anh. Nhiều hãng xe hơi như Renault, hãng viễn thông như Telefonica, trường đại học ở Trung Quốc, ngân hàng ở Nga... đồng loạt báo cáo bị tấn công. Trong cơn hoảng loạn, các doanh nghiệp và cơ quan phải tắt toàn bộ máy tính để ngăn lây lan, khiến hoạt động đình trệ trên diện rộng.

WannaCry đòi nạn nhân trả khoảng 300 USD bằng Bitcoin để chuộc lại dữ liệu, nhưng trớ trêu thay mã phục hồi lại không hoạt động kể cả khi nạn nhân trả tiền. Kết quả, cuộc tấn công chỉ thu được khoảng 160.000 USD tiền chuộc, một con số quá nhỏ so với thiệt hại hàng trăm triệu USD mà nó gây ra. Điều này khiến giới chuyên gia nhận định động cơ của vụ tấn công không phải tài chính, mà là phá hoại. 

Quả thực, WannaCry được lập trình một cách cẩu thả và có “nút chặn” (kill switch) đơn giản: một chuyên gia an ninh người Anh, Marcus Hutchins, tình cờ phát hiện mã độc sẽ tự dừng nếu kiểm tra thấy một tên miền cụ thể tồn tại, anh đã nhanh trí đăng ký tên miền đó và vô hiệu hóa đợt bùng phát. Việc chèn sẵn kill-switch phi lý và số tiền chuộc thu về ít ỏi cho thấy kẻ tấn công không thực sự muốn kiếm tiền, mà có thể nhằm gửi thông điệp hoặc gây hỗn loạn.

Chẳng bao lâu, các cơ quan tình báo phương Tây chỉ ra Triều Tiên đứng sau WannaCry. Bằng chứng kỹ thuật được hãng Symantec và Kaspersky đưa ra cho thấy một phần mã nguồn của WannaCry trùng khớp với mã Lazarus từng dùng trước đó. 

Tháng 12/2017, Mỹ, Anh, Úc, Canada, New Zealand công khai quy trách nhiệm cho Bình Nhưỡng đã thực hiện vụ tấn công WannaCry. Đây là lần đầu tiên nhiều cường quốc đồng loạt cáo buộc một quốc gia về một sự kiện an ninh mạng quy mô toàn cầu. 

Chính phủ Mỹ sau đó truy tố thành viên Lazarus là Park Jin Hyok có vai trò tạo ra mã độc WannaCry 2.0. WannaCry đánh dấu mốc leo thang nguy hiểm: Triều Tiên từ chỗ tấn công mục tiêu chọn lọc đã gây ra một sự cố ảnh hưởng toàn cầu, đe dọa trực tiếp đến an toàn công cộng (bệnh viện, nhà máy...). Thiệt hại do WannaCry gây ra được ước tính từ hàng trăm triệu đến hàng tỷ USD trên toàn thế giới. Vụ này cũng tạo tiền lệ về chiến tranh mạng không biên giới, khi một vũ khí mạng thoát khỏi tầm kiểm soát và tàn phá bừa bãi hạ tầng số của nhiều nước cùng lúc.

Sau năm 2017, Lazarus mở rộng “mặt trận” sang lĩnh vực tiền mã hóa, lợi dụng sự bùng nổ của thị trường này để tiếp tục thu lợi tài chính phục vụ Triều Tiên. 

Từ 2017-2018, hàng loạt sàn giao dịch tiền số và quỹ đầu tư crypto trở thành mục tiêu của Lazarus. Tại Hàn Quốc, sàn Bithumb bị hacker Triều Tiên lấy cắp 7 triệu USD Bitcoin vào tháng 2/2017. 

Sàn YouBit thậm chí phá sản sau hai lần bị tấn công, mất 17% tổng tài sản vào tay tin tặc. Thiệt hại đã khiến YouBit phải tuyên bố phá sản cuối 2017 sau vụ hack thứ hai. Một vụ khác, chợ giao dịch NiceHash ở Slovenia bị đánh cắp tới 4736 Bitcoin vào tháng 12/2017, (trị giá hơn 80 triệu đô thời điểm đó, và lên tới hơn 470 triệu đô nếu tính giá hiện tại) và dấu vết mà hacker để lại cũng dẫn đến Lazarus.

Thủ đoạn của Lazarus trong mảng crypto rất đa dạng, kết hợp kỹ thuật tinh vi và nhắm vào con người. Theo một báo cáo của Recorded Future, cuối 2017 Lazarus đã thực hiện chiến dịch nhắm vào người dùng Bitcoin và Monero ở Hàn Quốc, tận dụng cả lỗ hổng zero-day trong phần mềm soạn thảo Hangul lẫn email spear-phishing để xâm nhập máy tính nạn nhân, đánh cắp khóa ví và mật khẩu. 

Nhóm còn tạo ra ứng dụng tiền ảo giả để dụ người dùng tải về – như trường hợp chiến dịch AppleJeus năm 2018, Lazarus lập nên một công ty fintech giả, phát hành phần mềm ví tiền mã hóa chứa mã độc nhằm xâm nhập máy tính các sàn giao dịch tiền ảo quốc tế. 

Kaspersky tiết lộ AppleJeus đã giúp Lazarus đột nhập thành công nhiều sàn và lấy cắp hàng chục triệu USD tiền ảo trong giai đoạn 2018-2020. Song song, nhóm cũng tấn công các nền tảng tài chính phi tập trung (DeFi), cầu nối blockchain, quỹ đầu tư tiền số,... bằng cách nhắm vào nhân viên nội bộ. Họ đóng giả làm nhà tuyển dụng, gửi thư mời làm việc “đáng ngờ” trên LinkedIn kèm tài liệu chứa mã độc – kỹ thuật được gọi là “Operation Dream Job” mà chính Microsoft đã lên tiếng cảnh báo vào năm 2020.

Chưa dừng lại ở đó, công cuộc đào mỏ kỹ thuật số của Lazarus được đưa lên đỉnh cao với hai vụ hack chấn động năm 2022. 

Tháng 3/2022, nhóm tấn công Ronin Bridge, mạng lưới blockchain sidechain của game Axie Infinity, và đánh cắp khoảng 620 triệu USD tiền mã hóa ( gồm Ethereum và USDC).

FBI sau đó chính thức xác nhận Lazarus (cụ thể là nhóm con APT38) phải chịu trách nhiệm cho vụ trộm tiền ảo lớn bậc nhất lịch sử này. Chưa dừng lại, tháng 6/2022, cầu Harmony Horizon cũng bị Lazarus đột nhập, lấy mất khoảng 100 triệu USD. 

Bước sang năm 2023, Lazarus tiếp tục tung hoành: báo cáo của Immunefi cho thấy riêng năm 2023 nhóm đã gây thiệt hại hơn 300 triệu USD qua các vụ hack crypto, chiếm khoảng 17,6% tổng giá trị tài sản tiền số bị đánh cắp trên toàn cầu năm đó. 

Trong số này còn có vụ hack Atomic Wallet (tháng 6/2023) mất hơn 100 triệu USD và vụ hack Stake.com (tháng 9/2023) mất 41 triệu USD, cả hai đều được FBI xác nhận do Lazarus thực hiện.

Gần đây nhất, đầu năm 2025, Lazarus lập “kỷ lục” mới với vụ tấn công sàn giao dịch Bybit. Bằng cách lợi dụng kẽ hở trong quy trình chuyển ví lạnh, hacker Lazarus đã can thiệp giao dịch và cuỗm đi 400.000 ETH (trị giá ~1,5 tỷ USD) từ sàn Bybit, vụ trộm tiền số đứng đầu bảng xếp hạng lịch sử. 

Giới phân tích theo dõi dòng tiền phát hiện thủ phạm gửi lượng lớn ETH đánh cắp vào một địa chỉ từng gắn liền với các phi vụ trước của Lazarus, qua đó khẳng định đây chính là “vụ siêu trộm” do các pháp sư Bình Nhưỡng chỉ đạo. Vụ Bybit cho thấy Lazarus đã nâng tầm kỹ thuật đến mức có thể khai thác cả những thực thể lớn, các nền tảng blockchain phức tạp, đem về khoản tiền khổng lồ giúp Triều Tiên.

Nhìn lại hành trình từ 2017 đến nay, có thể thấy Lazarus đã trở thành “át chủ bài” kiếm ngoại tệ cho chính quyền Kim Jong-un. Một báo cáo Liên Hợp Quốc năm 2023 ước tính trong 6 năm qua, Triều Tiên thu về khoảng 3 tỷ USD từ các hoạt động tội phạm mạng, số tiền này được cho là tài trợ tới 30-50% ngân sách chương trình vũ khí hạt nhân và tên lửa của Bình Nhưỡng. 

Chính cộng đồng tiền mã hóa cũng thừa nhận lo ngại sâu sắc trước việc một tác nhân nhà nước thực hiện các vụ trộm ảo với quy mô và tần suất chưa từng có, trong khi khung pháp lý quốc tế còn nhiều lỗ hổng. Bất cứ sàn giao dịch hay quỹ đầu tư tiền số lớn nào cũng có thể đang nằm trong tầm ngắm của Lazarus, hễ ở đâu có nhiều tiền ảo, ở đó có thể Lazarus sẽ tìm đến. 

Rõ ràng, nhóm hacker Triều Tiên đã biến không gian tiền mã hóa thành chiến trường mới để tiếp tục cuộc chơi “mèo vờn chuột” với phần còn lại của thế giới.

Qua những chiến dịch như trên, rõ ràng Lazarus không chỉ là một nhóm tội phạm, có thể xem họ còn là “binh đoàn mạng” phục vụ chiến lược quốc gia của Triều Tiên, do đó tác động của nhóm này mang nhiều chiều cạnh: tài chính, chính trị, xã hội và quân sự.

Trước hết về tài chính - kinh tế, như đã phân tích, Lazarus đã đánh cắp lượng tài sản khổng lồ từ các ngân hàng và sàn tiền ảo trên thế giới. 

Điều này đồng nghĩa với việc mỗi bệnh viện bị tấn công, mỗi ngân hàng bị hack bởi Lazarus gián tiếp góp phần vào việc Bình Nhưỡng chế tạo thêm tên lửa đạn đạo. Các vụ trộm tiền táo bạo của Lazarus cũng gây chấn động thị trường tài chính: vụ Bangladesh 2016 buộc hệ thống SWIFT phải rà soát nâng cấp an ninh, các ngân hàng toàn cầu thắt chặt quy trình giao dịch hơn bao giờ hết. 

Trong lĩnh vực crypto, mỗi lần Lazarus ra tay lại làm lung lay niềm tin vào an ninh của các sàn giao dịch và ví tiền số, ảnh hưởng đến giá trị tài sản và tâm lý nhà đầu tư. Chẳng hạn sau vụ Ronin 2022, nhiều dự án blockchain đã phải tăng cường kiểm toán hợp đồng thông minh và mua bảo hiểm rủi ro hack. Lazarus trở thành nỗi ám ảnh thường trực cho ngành công nghiệp tiền số non trẻ, luôn phải cảnh giác với nguy cơ nhân viên mình bị nhắm đến, tài sản công ty bị rút cạn chỉ sau một đêm.

Về chính trị - ngoại giao, hoạt động của Lazarus làm gia tăng căng thẳng giữa Triều Tiên và phần còn lại của thế giới, đặc biệt là với Mỹ và đồng minh. Việc Bình Nhưỡng dùng hacker tấn công Sony Pictures 2014 được Washington coi như hành vi “xuất khẩu đàn áp” – tức vươn cánh tay kiểm duyệt ra khỏi biên giới, đe dọa công dân và doanh nghiệp Mỹ trên không gian mạng. 

Điều này đã thúc đẩy Mỹ áp đặt thêm các lệnh trừng phạt, liệt Triều Tiên vào diện “sponsor of cyber terrorism” thời điểm đó. Tương tự, vụ WannaCry 2017 gây thiệt hại nghiêm trọng cho hệ thống y tế Anh khiến Anh quốc công khai lên án Triều Tiên, tạo ra một mặt trận ngoại giao mới chống lại Bình Nhưỡng. Mỹ cùng các nước phương Tây đã không ngần ngại đổ lỗi đích danh Triều Tiên cho hàng loạt sự cố mạng lớn, biến Lazarus trở thành “tội đồ quốc tế”. 

Triều Tiên tất nhiên luôn phủ nhận mọi cáo buộc, nhưng những bằng chứng kỹ thuật và pháp lý (như bản cáo trạng Park Jin Hyok) đã khiến nước này bị cô lập hơn nữa trên trường quốc tế. 

Từ 2019, Hoa Kỳ và Liên Hợp Quốc đã đưa Lazarus và các nhóm liên quan vào danh sách trừng phạt, cấm vận kinh tế đối với bất cứ tổ chức/cá nhân nào hỗ trợ cho hoạt động của các hacker này. Đây là trường hợp hiếm hoi một nhóm hacker bị đối xử tương tự như khủng bố hay tội phạm ma túy quốc tế, cho thấy tầm nghiêm trọng về chính trị mà Lazarus gây ra.

Ở góc độ xã hội, sự hoành hành của Lazarus làm lung lay niềm tin vào an ninh mạng trên toàn cầu. Những vụ tấn công quy mô lớn như WannaCry đã ảnh hưởng trực tiếp đến đời sống thường nhật – bệnh nhân không được khám chữa kịp thời, công nhân phải nghỉ làm vì nhà máy ngừng hoạt động. Mọi người nhận ra rằng một nhóm hacker từ quốc gia xa xôi cũng có thể gây hậu quả đến chính cuộc sống của họ. Điều này đặt ra thách thức cho các chính phủ: làm sao bảo vệ được người dân và doanh nghiệp trước những mối đe dọa vô hình xuyên biên giới như vậy. 

Các chiến dịch tuyên truyền của Triều Tiên cũng khai thác thành công của Lazarus để đề cao năng lực “quân đội hacker” của mình, có thể gây tâm lý bất an cho xã hội các nước đối địch. Mặt khác, ở Triều Tiên, những hacker như thành viên Lazarus lại có địa vị cao – họ được coi là “anh hùng thầm lặng” đóng góp cho đất nước, kiếm ngoại tệ về nuôi nền kinh tế quốc gia. Sự tương phản giá trị này càng làm tăng tính chất phức tạp trong cuộc chiến dư luận xoay quanh Lazarus.

Xét về chiến tranh mạng, Lazarus chính là ví dụ tiêu biểu cho chiến lược chiến tranh phi đối xứng (asymmetric warfare) của Triều Tiên. Thay vì đối đầu trực tiếp về quân sự, Bình Nhưỡng sử dụng một nhóm nhỏ chuyên gia mạng để tấn công vào những điểm yếu của các nước mạnh hơn. Chỉ với vài trăm hoặc nghìn hacker, Triều Tiên có thể gây thiệt hại kinh tế hàng tỷ USD cho đối phương, tạo ảnh hưởng chính trị sâu rộng – điều mà họ khó làm được bằng sức mạnh quân sự truyền thống. 

Lazarus đã cho thấy một quốc gia nhỏ, kinh tế lạc hậu vẫn có thể trở thành cường quốc trên không gian mạng nếu biết đầu tư đúng hướng. Trong cuộc đấu trí Mỹ – Triều, các chiến dịch của Lazarus là quân bài giúp Bình Nhưỡng vừa kiếm tiền nuôi chế độ, vừa gửi thông điệp răn đe. Vụ Sony 2014 chẳng hạn, không chỉ là trả đũa một bộ phim, mà còn mang hàm ý: Triều Tiên có thể đánh trúng tận Hollywood – biểu tượng sức mạnh mềm của Mỹ – nếu lợi ích của họ bị xâm phạm. 

Các vụ trộm tiền tỷ USD lại càng quan trọng với Triều Tiên vì chúng bẻ gãy hiệu lực trừng phạt do Mỹ dẫn đầu: tiền bị phong tỏa qua cấm vận thì Triều Tiên “tự lấy” bằng cách hack ngân hàng. Sự thành công của Lazarus có thể coi là thắng lợi chiến lược của Bình Nhưỡng trong bối cảnh bị bao vây: họ mở ra một mặt trận mới nơi mình có ưu thế, buộc Mỹ và đồng minh phải vất vả đối phó. Theo tiết lộ của một cựu quan chức đào tẩu, chính quyền Kim Jong-un đã thành lập hẳn Cục 414 chuyên trách chiến tranh mạng, hàm ý coi trọng lĩnh vực này không thua kém gì với các đơn vị chiến đấu thực địa.

Tuy nhiên, sự thật cho thấy rằng hoạt động của Lazarus khiến Triều Tiên bị cô lập thêm. Việc ăn cắp tiền và tấn công cơ sở dân sự của các nước khác bị cộng đồng quốc tế lên án mạnh mẽ. Ngày 26/5/2022, Hội đồng Bảo an Liên Hợp Quốc bỏ phiếu về một dự thảo nghị quyết do Mỹ dẫn đầu, trong đó đề xuất áp thêm các biện pháp trừng phạt, bao gồm đưa nhóm Lazarus vào danh sách đen. Kết quả là 13/15 nước ủng hộ, chỉ có Trung Quốc và Nga lại bỏ phiếu chống.

Tóm lại, Lazarus, từ một nhóm hacker ẩn nấp trong bóng tối, giờ đây đã hiện rõ là một tác nhân toàn cầu, làm giàu cho Triều Tiên, gây thiệt hại cho kinh tế thế giới, khuấy đảo trật tự an ninh mạng và nói không quá khi Lazarus còn là một nhân tố mới trong bàn cờ địa chính trị. 

Nhóm hacker này được xem là một trong những mối nguy hiểm nhất thế giới, sánh ngang các nhóm hacker nhà nước khác của Nga, Trung Quốc, Iran. Sự trỗi dậy của Lazarus cũng buộc các quốc gia và tổ chức quốc tế phải đánh giá lại cách tiếp cận đối với an ninh mạng, từ coi đó là vấn đề kỹ thuật thuần túy sang nhìn nhận như một phần của an ninh quốc gia và an ninh quốc tế.

Từ những cuộc đánh phá Hàn Quốc trong âm thầm cho đến nay, nhóm tin tặc Lazarus đã đi một chặng đường đầy “chiến công oanh liệt”, nếu nhìn từ phía Triều Tiên, nhưng đầy thách thức đối với phần còn lại của thế giới. 

Về mặt kỹ thuật, Lazarus Group đã trưởng thành vượt bậc, sở hữu năng lực thuộc hàng top đầu tin tặc thế giới. Chúng có thể xâm nhập gần như bất kỳ hệ thống mục tiêu nào nếu thật sự nhắm đến. Sự nguy hiểm của Lazarus còn đến từ sự liều lĩnh: không ngại tấn công trên diện rộng (như WannaCry), không sợ để lại hậu quả địa chính trị (như Sony hack). Điều này đặt ra bài toán nan giải cho các nhà hoạch định an ninh.

Tuy vậy, câu chuyện Lazarus cũng cho thấy sức mạnh của hợp tác quốc tế trong việc ứng phó mối đe dọa chung. Nhờ sự phối hợp giữa các cơ quan thực thi pháp luật, tình báo và khu vực tư nhân toàn cầu, nhiều hoạt động của Lazarus đã bị phanh phui, tài sản đánh cắp phần nào được thu hồi, và quan trọng hơn, thế giới hiểu rõ bộ mặt thật của nhóm hacker này. 

Lazarus không còn là “bóng ma” không tên. Giờ đây, chúng phải ẩn nấp trước sự truy lùng gắt gao của cả cộng đồng. Mỗi bước đi mới của Lazarus, như vụ Bybit ngay đầu năm 2025, đều ngay lập tức bị lần ra và gắn mác, khiến Triều Tiên khó lòng chối bỏ trách nhiệm.