Bitrefill Tiết lộ Cuộc tấn công mạng, Chỉ đến Nhóm Lazarus của Bắc Triều Tiên

Nền tảng thương mại điện tử tiền điện tử Bitrefill cho biết họ đã trở thành mục tiêu của một cuộc tấn công mạng đầu tháng này, dẫn đến việc mất tiền và hạn chế tiếp xúc dữ liệu khách hàng, với các chỉ số cho thấy nhóm Lazarus liên kết với Triều Tiên là thủ phạm có khả năng cao.

Vụ vi phạm, bắt đầu từ ngày 1 tháng 3, xuất phát từ một laptop của nhân viên bị xâm nhập, theo báo cáo sự cố của công ty.

Những kẻ tấn công đã có thể trích xuất các thông tin đăng nhập cũ liên quan đến hệ thống sản xuất, cho phép họ nâng cao quyền truy cập trên toàn bộ hạ tầng của Bitrefill, bao gồm các phân đoạn của cơ sở dữ liệu nội bộ và một số ví nóng tiền điện tử.

Bitrefill cho biết các hacker đã rút một số tiền chưa tiết lộ từ các ví nóng của họ, đồng thời khai thác hệ thống kho gift card để thực hiện các giao dịch mua bán đáng ngờ với các nhà cung cấp. Công ty không nêu rõ tổng thiệt hại tài chính nhưng tuyên bố sẽ chịu đựng thiệt hại bằng vốn hoạt động.

Vụ xâm nhập lần đầu được phát hiện qua các mẫu mua hàng bất thường và các hoạt động bất thường của nhà cung cấp.

Để đối phó, Bitrefill đã tạm thời tắt hệ thống của mình để kiểm soát vụ vi phạm trên toàn cầu. Công ty cho biết các dịch vụ, bao gồm thanh toán và truy cập tài khoản, đã trở lại mức bình thường.

Trong vụ tấn công, khoảng 18.500 hồ sơ mua hàng đã bị truy cập. Dữ liệu bị lộ bao gồm địa chỉ email, địa chỉ thanh toán tiền điện tử và metadata như địa chỉ IP.

Khoảng 1.000 trong số đó chứa tên khách hàng được mã hóa, hiện đang được xử lý như có thể bị lộ do khả năng hacker đã truy cập vào khóa mã hóa. Bitrefill cho biết đã thông báo trực tiếp cho các người dùng bị ảnh hưởng.

Dù bị vi phạm, công ty nhấn mạnh rằng họ lưu trữ rất ít dữ liệu cá nhân và không yêu cầu xác minh danh tính khách hàng bắt buộc cho hầu hết các giao dịch. Thông tin liên quan đến KYC được xử lý bởi các nhà cung cấp bên ngoài và không được lưu trữ trong hệ thống của Bitrefill. Công ty cũng cho biết không có bằng chứng cho thấy toàn bộ cơ sở dữ liệu của họ đã bị rò rỉ hoặc dữ liệu khách hàng là mục tiêu chính.

“Dựa trên cuộc điều tra và các nhật ký của chúng tôi, chúng tôi không có lý do để nghĩ rằng dữ liệu khách hàng là mục tiêu,” công ty nói, lưu ý rằng các hacker dường như chỉ thực hiện các truy vấn hạn chế nhằm dò tìm các tài sản có giá trị như tiền điện tử và kho gift card.

Nhóm Lazarus của Triều Tiên đã tham gia

Bitrefill trích dẫn một số chỉ số liên kết cuộc tấn công với nhóm Lazarus, bao gồm sự giống nhau trong phần mềm độc hại, hạ tầng dùng đi dùng lại như địa chỉ IP và tài khoản email, cùng các mẫu giao dịch trên chuỗi.

Nhóm này, thường liên kết với Triều Tiên, đã bị liên kết với một số vụ trộm tiền điện tử lớn nhất trong những năm gần đây thông qua nhóm phụ đặc biệt của họ, Bluenoroff.

Các công ty an ninh mạng như zeroShadow, SEAL911 và RecoverisTeam đã hỗ trợ trong phản ứng và điều tra, cùng với các nhà phân tích trên chuỗi và cơ quan thực thi pháp luật. Công ty cho biết đang thực hiện các biện pháp an ninh bổ sung, bao gồm mở rộng hệ thống giám sát và kiểm soát nội bộ, để ngăn chặn các sự cố tương tự.

Vụ tấn công này làm nổi bật những lo ngại liên tục về các mối đe dọa mạng do nhà nước tài trợ trong lĩnh vực tài sản kỹ thuật số.

Theo công ty phân tích chuỗi khối Chainalysis, các nhóm liên kết với Triều Tiên đã chịu trách nhiệm hơn 2 tỷ USD trong các vụ trộm tiền điện tử trong năm 2025, chiếm phần lớn hoạt động phi pháp trong lĩnh vực này.

Bitrefill cho biết hoạt động đã ổn định sau vụ việc và bày tỏ sự tự tin vào khả năng phục hồi của mình, lưu ý rằng hoạt động của khách hàng và khối lượng bán hàng đã trở lại mức bình thường.