Duy Linh
Writer
Trong bối cảnh các mối đe dọa không ngừng thay đổi, các nhóm tin tặc đang tích cực tận dụng trí tuệ nhân tạo (AI), đặc biệt là AI tạo sinh (GenAI), để mở rộng quy mô và nâng cao hiệu quả tấn công. Theo Báo cáo săn lùng mối đe dọa năm 2025 của CrowdStrike, GenAI đang giúp những kẻ tấn công vượt qua hạn chế tài nguyên, xâm nhập các tổ chức với tốc độ và độ chính xác chưa từng thấy.
Ngay cả những nhóm tội phạm mạng và hacktivist có kỹ năng thấp cũng có thể tự động hóa các nhiệm vụ phức tạp như viết phần mềm độc hại, tạo tập lệnh, và xử lý các vấn đề kỹ thuật nhờ vào GenAI.
Một ví dụ điển hình là FAMOUS CHOLLIMA – nhóm liên quan tới CHDCND Triều Tiên – đã tấn công hơn 320 công ty trong 12 tháng qua, tăng 220% so với cùng kỳ năm trước. Chúng sử dụng GenAI để tạo sơ yếu lý lịch thu hút, sử dụng công nghệ deepfake che giấu danh tính trong phỏng vấn video, đồng thời triển khai các công cụ mã hóa do AI điều khiển để hoàn thành công việc mà không bị phát hiện.
Các nhóm khác như EMBER BEAR và CHARMING KITTEN cũng đang lợi dụng GenAI để tạo nội dung tuyên truyền ủng hộ Nga và phát tán mồi nhử lừa đảo tinh vi nhờ các mô hình ngôn ngữ lớn (LLM), chủ yếu nhắm vào các tổ chức tại Mỹ và Liên minh châu Âu.
Không chỉ dừng lại ở nội dung giả mạo, AI còn bị vũ khí hóa để khai thác các lỗ hổng trong phần mềm, hỗ trợ thu thập thông tin đăng nhập, giữ quyền truy cập và triển khai phần mềm độc hại mới như Funklocker và SparkCat. Khi doanh nghiệp tích cực tích hợp AI vào hệ thống, chúng vô tình mở rộng phạm vi tấn công, biến các mối đe dọa nội bộ truyền thống thành chiến dịch quy mô lớn và dai dẳng hơn.
Tấn công xuyên miền và gia tăng đột biến xâm nhập đám mây
Song song đó, kẻ tấn công ngày càng thành thạo các kỹ thuật tấn công xuyên miền, dễ dàng vượt qua lớp bảo vệ điểm cuối, hệ thống nhận dạng, môi trường đám mây và tài sản chưa được quản lý.
Sự trở lại của nhóm SCATTERED SPIDER là minh chứng rõ ràng. Chúng sử dụng vishing (lừa đảo qua giọng nói) và mạo danh bộ phận hỗ trợ để đặt lại mật khẩu, qua mặt xác thực đa yếu tố (MFA) và di chuyển ngang qua hệ thống SaaS, đám mây chỉ trong chưa đầy 24 giờ. Nhờ đánh cắp thông tin định danh cá nhân (PII), chúng có thể mạo danh nhân viên và vượt qua bước xác minh của bộ phận trợ giúp.
Sau khi chiếm được quyền truy cập, những nhóm này nhanh chóng chuyển sang kiểm soát các nền tảng lưu trữ, tài liệu và quản lý danh tính, nhằm thiết lập chỗ đứng để đánh cắp dữ liệu và lan rộng cuộc tấn công.
Xâm nhập vào hệ thống đám mây đã tăng vọt 136% trong nửa đầu năm 2025 so với toàn bộ năm 2024, chủ yếu do hoạt động của các nhóm bị nghi ngờ liên quan đến Trung Quốc như GENESIS PANDA và MURKY PANDA, tăng tới 40%. Chúng khai thác lỗi cấu hình và lợi dụng quyền truy cập tin cậy để ẩn mình.
Một ví dụ khác là GLACIAL PANDA – nhóm đã xâm nhập sâu vào mạng lưới viễn thông, làm gia tăng 130% hoạt động gián điệp cấp quốc gia trong ngành này.
CrowdStrike hiện đang theo dõi hơn 265 đối thủ và 150 nhóm hoạt động, ghi nhận mức tăng 27% mỗi năm về các cuộc xâm nhập tương tác, trong đó 81% không sử dụng phần mềm độc hại mà dựa hoàn toàn vào kỹ thuật “đánh máy trực tiếp” để tránh bị phát hiện.
Tội phạm mạng (eCrime) chiếm 73% các vụ xâm nhập này. Dự kiến, khối lượng lừa đảo trực tuyến sẽ tăng gấp đôi vào cuối năm nay.
Khu vực chính phủ đang đối mặt với áp lực lớn khi số vụ xâm nhập tăng 71% và các hoạt động có mục tiêu tăng đột biến 185%, cho thấy rõ ràng rằng các tổ chức cần nhanh chóng tích hợp các hiểu biết từ thực tiễn vào chiến lược phòng thủ để đối phó hiệu quả với các mối đe dọa có sự hỗ trợ từ AI.
Đọc chi tiết tại đây: https://gbhackers.com/threat-actors-exploit-ai-to-scale-attacks/
Ngay cả những nhóm tội phạm mạng và hacktivist có kỹ năng thấp cũng có thể tự động hóa các nhiệm vụ phức tạp như viết phần mềm độc hại, tạo tập lệnh, và xử lý các vấn đề kỹ thuật nhờ vào GenAI.
Một ví dụ điển hình là FAMOUS CHOLLIMA – nhóm liên quan tới CHDCND Triều Tiên – đã tấn công hơn 320 công ty trong 12 tháng qua, tăng 220% so với cùng kỳ năm trước. Chúng sử dụng GenAI để tạo sơ yếu lý lịch thu hút, sử dụng công nghệ deepfake che giấu danh tính trong phỏng vấn video, đồng thời triển khai các công cụ mã hóa do AI điều khiển để hoàn thành công việc mà không bị phát hiện.
Các nhóm khác như EMBER BEAR và CHARMING KITTEN cũng đang lợi dụng GenAI để tạo nội dung tuyên truyền ủng hộ Nga và phát tán mồi nhử lừa đảo tinh vi nhờ các mô hình ngôn ngữ lớn (LLM), chủ yếu nhắm vào các tổ chức tại Mỹ và Liên minh châu Âu.
Không chỉ dừng lại ở nội dung giả mạo, AI còn bị vũ khí hóa để khai thác các lỗ hổng trong phần mềm, hỗ trợ thu thập thông tin đăng nhập, giữ quyền truy cập và triển khai phần mềm độc hại mới như Funklocker và SparkCat. Khi doanh nghiệp tích cực tích hợp AI vào hệ thống, chúng vô tình mở rộng phạm vi tấn công, biến các mối đe dọa nội bộ truyền thống thành chiến dịch quy mô lớn và dai dẳng hơn.
Tấn công xuyên miền và gia tăng đột biến xâm nhập đám mây
Song song đó, kẻ tấn công ngày càng thành thạo các kỹ thuật tấn công xuyên miền, dễ dàng vượt qua lớp bảo vệ điểm cuối, hệ thống nhận dạng, môi trường đám mây và tài sản chưa được quản lý.
Sự trở lại của nhóm SCATTERED SPIDER là minh chứng rõ ràng. Chúng sử dụng vishing (lừa đảo qua giọng nói) và mạo danh bộ phận hỗ trợ để đặt lại mật khẩu, qua mặt xác thực đa yếu tố (MFA) và di chuyển ngang qua hệ thống SaaS, đám mây chỉ trong chưa đầy 24 giờ. Nhờ đánh cắp thông tin định danh cá nhân (PII), chúng có thể mạo danh nhân viên và vượt qua bước xác minh của bộ phận trợ giúp.
Sau khi chiếm được quyền truy cập, những nhóm này nhanh chóng chuyển sang kiểm soát các nền tảng lưu trữ, tài liệu và quản lý danh tính, nhằm thiết lập chỗ đứng để đánh cắp dữ liệu và lan rộng cuộc tấn công.
Xâm nhập vào hệ thống đám mây đã tăng vọt 136% trong nửa đầu năm 2025 so với toàn bộ năm 2024, chủ yếu do hoạt động của các nhóm bị nghi ngờ liên quan đến Trung Quốc như GENESIS PANDA và MURKY PANDA, tăng tới 40%. Chúng khai thác lỗi cấu hình và lợi dụng quyền truy cập tin cậy để ẩn mình.
Một ví dụ khác là GLACIAL PANDA – nhóm đã xâm nhập sâu vào mạng lưới viễn thông, làm gia tăng 130% hoạt động gián điệp cấp quốc gia trong ngành này.
CrowdStrike hiện đang theo dõi hơn 265 đối thủ và 150 nhóm hoạt động, ghi nhận mức tăng 27% mỗi năm về các cuộc xâm nhập tương tác, trong đó 81% không sử dụng phần mềm độc hại mà dựa hoàn toàn vào kỹ thuật “đánh máy trực tiếp” để tránh bị phát hiện.
Tội phạm mạng (eCrime) chiếm 73% các vụ xâm nhập này. Dự kiến, khối lượng lừa đảo trực tuyến sẽ tăng gấp đôi vào cuối năm nay.
Khu vực chính phủ đang đối mặt với áp lực lớn khi số vụ xâm nhập tăng 71% và các hoạt động có mục tiêu tăng đột biến 185%, cho thấy rõ ràng rằng các tổ chức cần nhanh chóng tích hợp các hiểu biết từ thực tiễn vào chiến lược phòng thủ để đối phó hiệu quả với các mối đe dọa có sự hỗ trợ từ AI.
Đọc chi tiết tại đây: https://gbhackers.com/threat-actors-exploit-ai-to-scale-attacks/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
