Các nhóm Tấn công Nâng cao Dai dẳng (APT) do nhà nước Iran hậu thuẫn và các đồng minh hacktivist của họ đã tăng cường hoạt động, tiềm ẩn nguy cơ châm ngòi cho các cuộc trả đũa mạng trên toàn cầu sau các cuộc tấn công quân sự của Israel và Mỹ vào các cơ sở hạt nhân và quân sự của Iran vào tháng 6 năm 2025. Trong khi các xung đột vật lý vẫn được kiểm soát, lĩnh vực không gian mạng đã chứng kiến sự gia tăng đáng kể các hoạt động chuẩn bị nhắm mục tiêu vào các thực thể ở Mỹ và Châu Âu.
Các tác nhân mạng của Iran, bao gồm cả những nhóm có liên hệ với Quân đoàn Vệ binh Cách mạng Hồi giáo (IRGC) và Bộ Tình báo và An ninh (MOIS), đang kết hợp giữa hoạt động gián điệp, phá hoại và chiến tranh tâm lý. Đặc biệt, các nhóm hacktivist thân Iran đã thống trị với các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào các tổ chức tài chính và các công ty hàng không vũ trụ & quốc phòng. Đồng thời, các mối đe dọa tinh vi hơn như quét hệ thống điều khiển công nghiệp (ICS), các chiến dịch lừa đảo (phishing), và tuyên truyền trên dark web làm phức tạp việc quy trách nhiệm.
Một cảnh báo chung gần đây từ FBI và CISA đã nhấn mạnh các lỗ hổng trong hạ tầng ICS bị lộ và những rủi ro gia tăng đối với môi trường công nghệ vận hành (OT), báo hiệu tiềm năng cho những cuộc xâm nhập phá hoại hơn trong tương lai.
Các Nhóm Tấn công Nâng cao Dai dẳng (APT) và Hacktivist Chính
Các Nhóm APT do Nhà nước Hậu thuẫn
Trung tâm trong học thuyết mạng của Iran là APT35 (còn được biết đến với tên gọi Charming Kitten hoặc Magic Hound) và APT33 (Elfin). Các nhóm này đã điều chỉnh chiến thuật của mình trong bối cảnh căng thẳng leo thang, cho thấy khả năng thích nghi cao và mối đe dọa liên tục đối với an ninh mạng toàn cầu.
APT35 (Charming Kitten / Magic Hound): Chuyển mình với AI trong Phishing
APT35 đã phát triển từ các hoạt động giám sát truyền thống sang các chiến dịch lừa đảo (phishing) nâng cao, được tăng cường bởi trí tuệ nhân tạo (AI). Nhóm này đặc biệt nhắm mục tiêu vào các nhà nghiên cứu an ninh mạng và giới học thuật với các email được soạn thảo tỉ mỉ, giả mạo danh tính của các nhà lãnh đạo trong ngành.
Từ giữa năm 2025, các chiến dịch này đã tận dụng AI để tạo ra các tiền đề giả mạo siêu thực, xây dựng các mối quan hệ tin cậy cao và làm phức tạp việc phát hiện thông qua kỹ thuật xã hội tinh vi. Khả năng của AI trong việc tạo ra các nội dung thuyết phục, cá nhân hóa cao cho phép APT35 vượt qua các lớp phòng thủ truyền thống, khiến các nạn nhân dễ dàng bị thao túng hơn.
Điều này đánh dấu một sự thay đổi chiến thuật, nâng cao kỹ năng tấn công của nhóm và đòi hỏi các cơ chế phòng thủ tiên tiến như phân tích hành vi (behavioral analytics) và kiểm tra xác thực đa yếu tố (multi-factor authentication scrutiny). Các hệ thống phòng thủ cần phải vượt ra ngoài việc nhận diện các mẫu tấn công đã biết để tập trung vào các hành vi bất thường, đặc biệt là trong các tương tác giao tiếp.
APT33 (Elfin): Tập trung vào Wiper Malware và OT Disruption
Trong khi đó, APT33 duy trì một kho vũ khí với hai trọng tâm chính, kết hợp mã độc wiper được thiết kế để phá hủy dữ liệu và gây gián đoạn hệ thống OT. Nhóm này có lịch sử tập trung vào các lĩnh vực năng lượng và quốc phòng, vốn là những mục tiêu có tác động cao.
Các công cụ của APT33 có khả năng làm hỏng các bộ điều khiển logic khả trình (PLCs) và các giao thức công nghiệp, tạo ra các mối đe dọa tiềm ẩn về phá hoại. Mặc dù chưa có cuộc tấn công phá hoại lớn nào được công khai quy kết gần đây, nhưng khả năng này vẫn tồn tại như một mối nguy hiểm tiềm tàng. Việc làm hỏng PLCs có thể dẫn đến việc ngừng hoạt động của cơ sở hạ tầng quan trọng, gây ra thiệt hại kinh tế và gián đoạn dịch vụ nghiêm trọng.
Các Nhóm Hacktivist Liên kết
Hỗ trợ các tác nhân nhà nước này là các nhóm hacktivist như CyberAv3ngers và Mr. Hamza. Mặc dù tuyên bố tự chủ, các nhóm này lại phù hợp với các tuyên bố và mục tiêu của IRGC thông qua các cuộc tấn công DDoS liên tục vào các trang web của thành phố và các tổ chức tài chính. Những hoạt động này, mặc dù về mặt kỹ thuật còn sơ khai, lại cung cấp sự phủ nhận trách nhiệm (deniability) cho các tác nhân nhà nước và tạo ra sự phân tâm đáng kể, gia tăng áp lực lên các nhà phòng thủ.
Phân tích Kỹ thuật Tấn công và Mục tiêu Tiềm năng
Kỹ thuật Tấn công Cốt lõi và Sự Phát triển Đáng lo ngại
Các chiến thuật của Iran tiếp tục tinh chỉnh các kỹ thuật cốt lõi để đạt được mục tiêu của họ. Sự kết hợp giữa các kỹ thuật truyền thống với những cải tiến hiện đại, đặc biệt là việc tích hợp AI, đã làm tăng đáng kể mức độ phức tạp và hiệu quả của các cuộc tấn công.
- Spear-phishing được tăng cường bởi AI để giành quyền truy cập ban đầu. Việc sử dụng AI giúp tạo ra các email lừa đảo cực kỳ thuyết phục, vượt qua các bộ lọc thư rác và sự cảnh giác của người dùng.
- Khai thác PowerShell để duy trì quyền truy cập và di chuyển ngang. Kỹ thuật này tận dụng các công cụ hệ thống hợp pháp, khiến việc phát hiện trở nên khó khăn hơn. Các tác nhân có thể sử dụng PowerShell để thực thi mã độc không ghi vào đĩa (fileless malware) hoặc thực hiện các hoạt động thu thập thông tin xác thực và leo thang đặc quyền.
- Đánh cắp thông tin xác thực để xâm nhập các hệ thống nhạy cảm. Đây là một bước quan trọng để giành quyền truy cập vào các tài nguyên giá trị, cho phép các tác nhân thực hiện các hoạt động gián điệp hoặc phá hoại sâu hơn.
- DNS tunneling cho command-and-control (C2) tàng hình. Kỹ thuật này che giấu lưu lượng C2 bên trong các yêu cầu DNS hợp pháp, giúp các tác nhân duy trì liên lạc với máy chủ điều khiển mà không bị phát hiện bởi các giải pháp an ninh mạng truyền thống.
Một sự chuyển hướng đáng lo ngại đã trở nên rõ ràng đối với khả năng phá hoại, với các mã độc được thiết kế không chỉ để thu thập thông tin tình báo mà còn để gây ra tác động thực tế, chẳng hạn như phá hoại hệ thống OT trong cơ sở hạ tầng quan trọng. Điều này cho thấy ý định gây ra thiệt hại vật chất và gián đoạn dịch vụ ở quy mô lớn.
Các Mục tiêu Quan trọng và Điểm Yếu
Các mục tiêu tiềm năng trải rộng trên nhiều lĩnh vực nhạy cảm, phản ánh phạm vi rộng lớn của các mối đe dọa từ Iran:
- Hệ thống Operational Technology (OT) trong các ngành tiện ích và giao thông vận tải được đặc biệt nhấn mạnh bởi các lỗ hổng trong các Unitronics PLCs do Israel sản xuất. Việc nhắm mục tiêu vào OT có thể gây ra gián đoạn lớn đối với các dịch vụ thiết yếu.
- Lĩnh vực Tài chính, nơi các sàn giao dịch tiền điện tử đối mặt với rủi ro từ các thỏa hiệp chuỗi cung ứng. Một cuộc tấn công vào chuỗi cung ứng có thể ảnh hưởng đến nhiều tổ chức cùng một lúc, gây ra thiệt hại tài chính và mất niềm tin.
- Các ngành Công nghệ và Viễn thông, thường bị ảnh hưởng bởi việc đánh cắp sở hữu trí tuệ thông qua các chiến dịch mạo danh. Việc đánh cắp IP có thể gây ra thiệt hại kinh tế lâu dài và làm suy yếu khả năng cạnh tranh.
- Sản xuất Quốc phòng, là mục tiêu hàng đầu cho hoạt động gián điệp giữa căng thẳng địa chính trị. Việc thu thập thông tin về năng lực quốc phòng có thể cung cấp lợi thế chiến lược cho Iran.
Chiến lược Phòng thủ và Khuyến nghị Chống lại Mối đe dọa Iran
Để chống lại các mối đe dọa đa dạng này, các tổ chức phải áp dụng các biện pháp chủ động dựa trên nhận thức về tình hình địa chính trị. Việc xây dựng một tư thế an ninh mạnh mẽ đòi hỏi sự kết hợp giữa các giải pháp kỹ thuật và chiến lược quản lý rủi ro.
- Kiểm tra và phân đoạn mạng OT từ IT: Việc này là yếu tố thiết yếu để giảm thiểu di chuyển ngang và giới hạn phạm vi của các vụ vi phạm tiềm năng. Bằng cách tách biệt các mạng này, một cuộc tấn công vào môi trường IT sẽ không thể dễ dàng lan sang các hệ thống điều khiển công nghiệp quan trọng, và ngược lại.
- Tăng cường phòng thủ chống lừa đảo (phishing): Thông qua đào tạo chuyên sâu về các chiến thuật xây dựng mối quan hệ lâu dài, nhằm đối phó hiệu quả với các cuộc tấn công tăng cường AI tinh vi. Người dùng cần được huấn luyện để nhận diện không chỉ các dấu hiệu lừa đảo rõ ràng mà còn cả các nỗ lực kỹ thuật xã hội phức tạp nhằm xây dựng lòng tin.
- Tích hợp giám sát SOC với cảnh báo từ CISA và FBI: Đảm bảo khả năng phản ứng kịp thời và chủ động trước tư thế mạng phản ứng của Iran, nơi các sự kiện toàn cầu trực tiếp tương quan với sự gia tăng rủi ro. Việc theo dõi liên tục các cảnh báo từ các cơ quan chính phủ giúp các tổ chức cập nhật thông tin về các mối đe dọa mới nhất và các biện pháp giảm thiểu.
- Đánh giá lại mô hình mối đe dọa (threat models): Thông qua lăng kính của các xung đột quốc tế để bảo vệ tốt hơn chống lại các hoạt động đang phát triển của Iran. Việc này bao gồm việc xem xét lại các giả định về kẻ tấn công, động cơ và khả năng của họ trong bối cảnh địa chính trị thay đổi.
Bằng cách kết hợp khả năng phục hồi kỹ thuật với cảnh giác chiến lược, các thực thể có thể ngăn chặn hiệu quả các sự gián đoạn tiềm năng và nâng cao tư thế an ninh mạng tổng thể của mình.
