Cảnh quan mối đe dọa mạng đang thay đổi nhanh chóng khi các đối thủ sử dụng trí tuệ nhân tạo (AI) để tăng cường hiệu quả hoạt động. Họ đang mở rộng quy mô các cuộc tấn công và tập trung vào các tác nhân AI tự chủ hỗ trợ hệ sinh thái doanh nghiệp hiện đại.
Theo thông tin tình báo từ Báo cáo Săn lùng Mối đe dọa 2025 của CrowdStrike, các tác nhân đe dọa đang triển khai AI tạo sinh (GenAI). Mục tiêu là tối ưu hóa các hoạt động bị hạn chế về tài nguyên, cho phép chúng xâm nhập vào các tổ chức với tốc độ và độ chính xác chưa từng có.
AI Tăng Cường Khả Năng Tấn Công Mạng
Sự dịch chuyển này giúp ngay cả các nhóm tội phạm mạng (eCrime) và các nhóm hacktivist có kỹ năng thấp hơn cũng tự động hóa các tác vụ phức tạp. Những tác vụ này theo truyền thống đòi hỏi chuyên môn cao, như phát triển mã độc, tạo script, và giải quyết vấn đề kỹ thuật.
Khai Thác GenAI trong Chu Trình Tuyển Dụng và Hoạt Động
Điển hình, nhóm đối thủ có liên kết với CHDCND Triều Tiên là FAMOUS CHOLLIMA đã xâm nhập hơn 320 công ty trong 12 tháng qua. Đây là mức tăng trưởng 220% so với cùng kỳ năm trước, thông qua việc tích hợp GenAI vào toàn bộ chu trình tuyển dụng và việc làm.
- Các tác nhân này sử dụng GenAI để tạo ra các hồ sơ xin việc giả mạo thuyết phục.
- Triển khai công nghệ deepfake theo thời gian thực để che giấu danh tính trong các cuộc phỏng vấn video.
- Sử dụng các công cụ mã hóa dựa trên AI để thực hiện các chức năng công việc một cách bí mật.
GenAI trong Tuyên Truyền và Tấn Công Phishing
Tương tự, các đối thủ như EMBER BEAR và CHARMING KITTEN khai thác GenAI để tuyên truyền các câu chuyện ủng hộ Nga. Chúng cũng tạo ra các mồi nhử phishing tinh vi bằng cách sử dụng mô hình ngôn ngữ lớn (LLM), nhắm mục tiêu vào các tổ chức ở Hoa Kỳ và EU.
Mở Rộng Bề Mặt Tấn Công và Chiến Thuật Xuyên Miền
Việc vũ khí hóa AI mở rộng đến việc khai thác các lỗ hổng trong các bộ phần mềm AI. Điều này tạo điều kiện cho truy cập không xác thực, thu thập thông tin xác thực, thiết lập cơ chế tồn tại lâu dài, và triển khai mã độc. Các họ mã độc mới được xây dựng bằng GenAI như Funklocker và SparkCat cũng đã xuất hiện.
Khi các doanh nghiệp đẩy nhanh việc áp dụng AI, bề mặt tấn công ngày càng mở rộng. Các tác nhân đe dọa ưu tiên các hệ thống tích hợp AI để biến các mối đe dọa nội bộ truyền thống thành các chiến dịch dai dẳng và có thể mở rộng.
Chiến Thuật Tấn Công Xuyên Miền
Đi kèm với những rủi ro này, các đối thủ đang thành thạo các cuộc tấn công xuyên miền. Chúng di chuyển liền mạch qua các điểm cuối, hệ thống danh tính, môi trường đám mây và tài sản không được quản lý. Điều này nhằm né tránh các kiểm soát bảo mật thông thường.
Sự trỗi dậy của SCATTERED SPIDER minh họa cho khả năng thành thạo này. Các tác nhân sử dụng vishing (lừa đảo qua điện thoại) và mạo danh bộ phận hỗ trợ kỹ thuật để đặt lại thông tin xác thực, bỏ qua xác thực đa yếu tố (MFA), và thực hiện di chuyển ngang qua các hạ tầng SaaS và đám mây.
Trong một sự cố được ghi nhận, SCATTERED SPIDER đã tiến triển từ truy cập ban đầu đến mã hóa ransomware chỉ trong vòng chưa đầy 24 giờ. Chúng tận dụng thông tin nhận dạng cá nhân (PII) thu thập được để mạo danh nhân viên và xác thực qua quy trình xác minh của bộ phận hỗ trợ kỹ thuật.
Sau khi chiếm quyền tài khoản, các tác nhân này chuyển sang các nền tảng tích hợp để lưu trữ dữ liệu, quản lý tài liệu và quản lý quyền truy cập danh tính. Việc này nhằm thiết lập các điểm tựa cho sự tồn tại dai dẳng, đánh cắp dữ liệu, và lây lan thêm.
Thống Kê và Xu Hướng Xâm Nhập Đáng Chú Ý
Các cuộc xâm nhập vào đám mây đã tăng 136% trong nửa đầu năm 2025 so với cả năm 2024. Điều này được thúc đẩy bởi sự gia tăng 40% trong các hoạt động từ các tác nhân có liên kết với Trung Quốc, như GENESIS PANDA và MURKY PANDA. Các nhóm này khai thác cấu hình sai và quyền truy cập đáng tin cậy để né tránh phát hiện.
Sự thâm nhập sâu của GLACIAL PANDA vào các mạng viễn thông đã thúc đẩy mức tăng 130% trong hoạt động gián điệp cấp quốc gia trong lĩnh vực này.
CrowdStrike hiện theo dõi hơn 265 đối thủ được đặt tên và 150 cụm hoạt động. Điều này cho thấy mức tăng 27% so với năm trước trong các cuộc xâm nhập tương tác. Đáng chú ý, 81% trong số đó không sử dụng mã độc và dựa vào các chiến thuật tác động trực tiếp để vượt qua các hệ thống phát hiện truyền thống.
- Tội phạm mạng (eCrime) chiếm 73% các cuộc xâm nhập này.
- Khối lượng vishing dự kiến sẽ tăng gấp đôi vào cuối năm.
Lĩnh vực chính phủ đã chứng kiến mức tăng 71% tổng thể trong các cuộc xâm nhập tương tác và mức tăng đột biến 185% trong các hoạt động có mục tiêu. Điều này nhấn mạnh sự cần thiết của các tổ chức trong việc tích hợp những thông tin này vào các chiến lược phòng thủ để đối phó hiệu quả với các mối đe dọa mạng được tăng cường bởi AI.
Nhóm Đe Dọa Nổi Bật và Mã Độc Mới
Dưới đây là danh sách các nhóm đe dọa và mã độc được đề cập trong bối cảnh sử dụng AI:
Nhóm Đe Dọa (Adversary Groups)
- FAMOUS CHOLLIMA: Nhóm có liên kết với CHDCND Triều Tiên, sử dụng GenAI trong chu trình tuyển dụng và việc làm.
- EMBER BEAR: Nhóm sử dụng GenAI để truyền bá thông tin sai lệch và thực hiện phishing.
- CHARMING KITTEN: Tương tự EMBER BEAR, khai thác GenAI để tạo mồi nhử phishing tinh vi.
- SCATTERED SPIDER: Nổi bật với các cuộc tấn công vishing, mạo danh bộ phận hỗ trợ và chiếm quyền điều khiển.
- GENESIS PANDA: Nhóm liên kết với Trung Quốc, nhắm vào các môi trường đám mây.
- MURKY PANDA: Cũng là nhóm liên kết với Trung Quốc, hoạt động trong môi trường đám mây.
- GLACIAL PANDA: Tham gia vào hoạt động gián điệp cấp quốc gia trong lĩnh vực viễn thông.
Mã Độc Mới Phát Hiện (Emerging Malware)
- Funklocker: Một họ mã độc mới được xây dựng bằng GenAI.
- SparkCat: Cũng là một họ mã độc mới được xây dựng bằng GenAI.
Chiến Lược An Ninh Mạng Để Đối Phó
Để tăng cường an ninh mạng trước những mối đe dọa mạng mới này, các tổ chức cần xem xét các chiến lược phòng thủ chủ động. Điều này bao gồm việc cập nhật liên tục các giải pháp bảo mật và đào tạo nhân viên về các kỹ thuật tấn công lừa đảo mới.
Đồng thời, việc tăng cường giám sát các hoạt động trên đám mây và các hệ thống tích hợp AI là rất quan trọng. Các báo cáo chuyên sâu như Báo cáo Săn lùng Mối đe dọa 2025 của CrowdStrike cung cấp thông tin chi tiết về các chiến thuật của đối thủ, giúp các đội bảo mật chuẩn bị tốt hơn. Truy cập Báo cáo Săn lùng Mối đe dọa 2025 của CrowdStrike để tìm hiểu thêm.
Sự thay đổi trong cách các tác nhân đe dọa hoạt động đòi hỏi một cách tiếp cận linh hoạt. Việc áp dụng các giải pháp phát hiện và phản ứng mở rộng (XDR) có thể giúp nhận diện các cuộc tấn công không sử dụng mã độc và các chiến thuật tấn công xuyên miền hiệu quả hơn, từ đó củng cố an ninh mạng toàn diện.
