Tấn công mạng AI: LLM biến đổi mối nguy hiểm nghiêm trọng

Vào đầu tháng 2 năm 2026, một mối đe dọa mạng đáng kể đã xuất hiện, liên quan đến việc sử dụng tinh vi các mô hình ngôn ngữ lớn (LLM) trong các chiến dịch xâm nhập đang hoạt động. Sự phát hiện này cho thấy một bước phát triển nguy hiểm trong tội phạm mạng hiện đại, nơi các công cụ AI không chỉ tạo văn bản mà còn được nhúng vào chuỗi tấn công (kill chain) để tự động hóa các tác vụ tấn công phức tạp chống lại các mục tiêu toàn cầu.

LLM Trong Chuỗi Tấn Công Mạng: Một Mối Đe Dọa Mới

Một máy chủ được cấu hình sai đã vô tình làm lộ ra một quy trình phần mềm chi tiết. Quy trình này cho thấy các tác nhân đe dọa đã tích hợp các mô hình LLM như DeepSeek và Claude vào quy trình làm việc tấn công của chúng.

Việc này cho phép tự động hóa các bước phức tạp trong quá trình xâm nhập, từ trinh sát đến khai thác.

Tận Dụng LLM Để Tự Động Hóa Xâm Nhập

Cơ sở hạ tầng tấn công nhắm mục tiêu cụ thể vào các thiết bị FortiGate SSL VPN. Chúng tận dụng dữ liệu cấu hình bị đánh cắp để thâm nhập mạng một cách hiệu quả.

Bằng cách khai thác các thông tin đăng nhập bị lộ compromised credentials, các tác nhân đã thành công trong việc lập bản đồ cơ sở hạ tầng nội bộ và xác định các tài sản quan trọng.

Hoạt động này sử dụng các công cụ tùy chỉnh để điều phối các cuộc tấn công. Điều này cho phép xử lý đồng thời hàng nghìn mục tiêu mà không yêu cầu can thiệp thủ công cho từng bước của quá trình xâm nhập.

Bằng chứng cho thấy hơn 2.500 thiết bị trên 106 quốc gia đã được xử lý theo các đợt song song.

Chiến Dịch Tấn Công FortiGate SSL VPN

Các nhà phân tích từ Cyber and Ramen đã xác định rằng các tác nhân đe dọa đã sử dụng một phương pháp tiếp cận dual-model (nguồn tin cậy). Trong đó, DeepSeek được sử dụng để tạo ra các kế hoạch tấn công chiến lược dựa trên dữ liệu trinh sát.

Đồng thời, khả năng lập trình của Claude được dùng để thực hiện các đánh giá lỗ hổng.

Kiến Trúc Tấn Công Song Song (Dual-Model)

Mức độ tự động hóa này cho phép ngay cả những tác nhân có kỹ năng thấp cũng có thể quản lý một lượng lớn các vụ xâm nhập một cách hiệu quả.

Cốt lõi của hoạt động này dựa vào hai thành phần tùy chỉnh có tên là ARXON và CHECKER2.

Các Thành Phần Kỹ Thuật Chính: ARXON và CHECKER2

CHECKER2 hoạt động như một bộ điều phối dựa trên Docker. Nó xử lý việc quét VPN song song.

Trong khi đó, ARXON đóng vai trò là máy chủ Giao thức Ngữ cảnh Mô hình (Model Context Protocol – MCP).

Cầu nối này cho phép những kẻ tấn công cung cấp dữ liệu mạng cụ thể cho các LLM. Các LLM sau đó sẽ đưa ra các bước khai thác có thể hành động. Ví dụ, sơ đồ chuỗi xâm nhập minh họa cách hệ thống di chuyển từ truy cập ban đầu đến khai thác tích cực.

Quy Trình Khai Thác Nội Bộ

Khi đã thâm nhập vào mạng, hệ thống sử dụng Claude để chạy tự động các công cụ tấn công offensive tools như Impacket và Metasploit.

Mặc dù một đoạn trích đã được ẩn danh từ báo cáo đánh giá lỗ hổng tìm thấy trên máy chủ hiển thị cách mô hình này ghi lại các phát hiện của mình và đề xuất các bước tiếp theo ưu tiên, chẳng hạn như leo thang đặc quyền.

Các nhật ký bị lộ xác nhận rằng hệ thống tự động này đang tích cực nhắm mục tiêu vào các lĩnh vực đa dạng, bao gồm cả viễn thông. Đây là một cuộc tấn công mạng với quy mô lớn và khả năng tự động cao.

Các Chỉ Dẫn Mục Tiêu và Công Cụ (IOCs)

• Mục tiêu: Thiết bị FortiGate SSL VPN.
• Công cụ tấn công: Impacket, Metasploit.
• Mô hình LLM được sử dụng: DeepSeek, Claude.
• Thành phần tùy chỉnh: ARXON (MCP server), CHECKER2 (Docker-based orchestrator).
• Phạm vi: Hơn 2.500 thiết bị, 106 quốc gia, bao gồm lĩnh vực viễn thông.

Biện Pháp Giảm Thiểu Và Phòng Chống Tấn Công Mạng

Để giảm thiểu các mối đe dọa mạng được điều khiển bởi AI này AI-driven threats, các tổ chức phải ưu tiên vá lỗi ngay lập tức các thiết bị biên. Tốc độ của các cuộc tấn công tự động không cho phép trì hoãn.

Các nhóm bảo mật nên thường xuyên kiểm tra tài khoản người dùng VPN VPN user accounts để phát hiện việc tạo tài khoản trái phép và giám sát các phiên SSH bất thường.

Ngoài ra, việc xác minh cấu hình mạng so với các đường cơ sở đã biết có thể giúp phát hiện những sửa đổi tinh vi, điển hình của chiến dịch này. Việc thực hiện các bản vá bảo mật định kỳ là yếu tố then chốt để duy trì an toàn thông tin.

Đảm bảo rằng tất cả các bản cập nhật và bản vá bảo mật mới nhất đã được áp dụng, đặc biệt cho các thiết bị FortiGate SSL VPN, là một hành động phòng ngừa quan trọng chống lại tấn công mạng.