Trong một chiến dịch **tấn công mạng** tinh vi, một tác nhân đe dọa duy nhất đã xâm phạm thành công chín cơ quan chính phủ và đánh cắp hàng trăm triệu hồ sơ công dân. Sự việc này làm nổi bật một sự thay đổi đáng báo động trong bối cảnh đe dọa hiện đại, đặc biệt với khả năng dẫn đến **rò rỉ dữ liệu** nhạy cảm trên quy mô lớn.
Chiến dịch diễn ra từ cuối tháng 12 năm 2025 đến giữa tháng 2 năm 2026. Các nhà nghiên cứu tại Gambit Security đã công bố một báo cáo kỹ thuật chi tiết, mô tả cách kẻ tấn công đã dựa vào hai nền tảng **trí tuệ nhân tạo** thương mại lớn để thực hiện cuộc tấn công này.
Vai trò của Trí tuệ Nhân tạo trong Tấn công Mạng
Báo cáo của Gambit Security cung cấp phân tích sâu sắc về cách thức cuộc **tấn công mạng** được triển khai. Việc công bố ban đầu đã bị trì hoãn để các cơ quan bị ảnh hưởng có đủ thời gian hoàn tất các nỗ lực ứng phó sự cố của họ. Báo cáo đầy đủ có thể tham khảo tại: Gambit Security Blog.
Kẻ tấn công đã sử dụng Anthropic’s Claude Code và OpenAI’s GPT-4.1 không chỉ để lập kế hoạch mà còn như những công cụ vận hành cốt lõi. Sự tích hợp này đã tăng tốc đáng kể quá trình tấn công, biến các công việc phức tạp thành các tác vụ tự động hóa cao.
Claude Code: Công cụ Thực thi Lệnh Tự động
Dựa trên bằng chứng pháp y được thu thập, Claude Code đã tạo và thực thi khoảng 75% tổng số lệnh từ xa trong suốt quá trình xâm nhập.
Trên 34 phiên hoạt động trên hạ tầng nạn nhân thực tế, kẻ tấn công đã ghi lại 1.088 nhắc lệnh (prompts) cá nhân. Các nhắc lệnh này đã được chuyển thành 5.317 lệnh do AI thực thi, minh họa mức độ tích hợp sâu sắc của AI vào giai đoạn khai thác.
GPT-4.1: Tăng tốc Thu thập và Xử lý Thông tin
Đồng thời, kẻ tấn công đã tận dụng OpenAI’s GPT-4.1 để trinh sát nhanh chóng và xử lý dữ liệu. Kẻ tấn công đã phát triển một script Python tùy chỉnh dài 17.550 dòng.
Script này được thiết kế để truyền dữ liệu thô thu thập từ các máy chủ bị xâm nhập trực tiếp thông qua API của OpenAI.
Hệ thống tự động này đã phân tích thông tin trên 305 máy chủ nội bộ, nhanh chóng tạo ra 2.597 báo cáo tình báo có cấu trúc. Bằng cách tự động hóa giai đoạn phân tích dữ liệu, một tác nhân duy nhất đã xử lý thành công khối lượng tình báo mà theo truyền thống sẽ yêu cầu một nhóm làm việc.
Tăng tốc Tấn công Mạng và Phát triển Exploit
Sự tích hợp của trí tuệ nhân tạo đã cho phép kẻ tấn công biến các mạng không quen thuộc thành các mục tiêu được lập bản đồ chỉ trong vài giờ thay vì nhiều ngày. Các tài liệu thu hồi cho thấy kẻ tấn công sở hữu hơn 400 script tấn công tùy chỉnh.
Hơn nữa, kẻ tấn công đã sử dụng AI để nhanh chóng phát triển 20 exploit tùy chỉnh, nhắm mục tiêu vào 20 Common Vulnerabilities and Exposures (CVEs) cụ thể. Khả năng tốc độ cao này đã rút ngắn khung thời gian của cuộc **tấn công mạng**, cho phép tác nhân đe dọa hoạt động dưới các cửa sổ phát hiện và phản hồi tiêu chuẩn. Để tìm hiểu thêm về các lỗ hổng CVE, bạn có thể tham khảo tại: National Vulnerability Database (NVD).
Nguyên nhân Gốc rễ: Lỗ hổng Cổ điển và Nợ Kỹ thuật
Mặc dù các phương pháp tiên tiến được sử dụng trong chiến dịch, các lỗ hổng thực tế bị khai thác lại mang tính chất rất thông thường. Các cơ quan chính phủ bị nhắm mục tiêu có những khoảng trống bảo mật cơ bản cho phép kẻ tấn công có được quyền truy cập ban đầu và di chuyển ngang trong hệ thống.
Các vấn đề cơ bản này có thể được giải quyết thông qua các kiểm soát bảo mật tiêu chuẩn. Điều này làm nổi bật một sự tích lũy nghiêm trọng của nợ kỹ thuật trong hạ tầng quan trọng của các tổ chức.
Chiến lược Phòng thủ trong Kỷ nguyên AI và Ngăn chặn Rò rỉ Dữ liệu
Trong khi trí tuệ nhân tạo đã giảm đáng kể chi phí và độ phức tạp của việc thực hiện các cuộc **tấn công mạng** quy mô lớn, chiến lược phòng thủ vẫn bắt nguồn từ các thực hành bảo mật nền tảng.
Các tổ chức phải khẩn trương giải quyết phần mềm chưa được vá và thực hiện các chính sách xoay vòng thông tin xác thực (credential rotation) nghiêm ngặt. Việc cập nhật bản vá bảo mật thường xuyên là yếu tố then chốt.
Thực thi phân đoạn mạng (network segmentation) cũng rất quan trọng để hạn chế di chuyển ngang của kẻ tấn công sau khi vòng ngoài bị phá vỡ. Biện pháp này giúp giảm thiểu thiệt hại nếu một phần của mạng bị xâm nhập.
Cuối cùng, việc triển khai các công cụ phát hiện và phản hồi điểm cuối (EDR) mạnh mẽ là cần thiết. Các công cụ này giúp nhận diện các khung thời gian tấn công bị rút ngắn nhanh chóng trước khi xảy ra tình trạng **rò rỉ dữ liệu** hoặc đánh cắp thông tin nhạy cảm.
